WEBНовости

Сервис, предупреждающий об использовании cookie, распространял майнинговый скрипт

С 2012 года в ЕС действует закон, согласно которому владельцы сайтов должны уведомлять своих посетителей о том, что ресурс использует cookie и получать их согласие на запись файлов cookie на устройство. С тех пор для удобства администраторов в ЕС появились бесплатные сервисы, такие как CookieScript[.]info, которые позволяют быстро интегрировать требуемое законом предупреждение на практически любой сайт.

Теперь независимый ИБ-исследователь Виллем де Грот (Willem de Groot) обнаружил, что вместе с безобидным скриптом, предупреждающим об использовании cookie, сервис распространял криптовалютного майнера.

Специалист заметил происходящее случайно, когда обратил внимание, что браузерный майнер появился на сайте Albert Heijn, крупнейшей в Голландии сети супермаркетов. Заподозрив неладное, де Грот внимательно изучил код ресурса, и проследил инфекцию до файла cookiescript.min.js, который подгружался с CookieScript[.]info.

Сервис, предупреждающий об использовании cookie, распространял майнинговый скрипт

Как оказалось, скрипт содержал майнера Crypto-Loot, который заставлял компьютеры посетителей сайтов добывать криптовалюту Monero. Майнер был обнаружен в следующих скриптах:

  • http://cookiescript.info/libs/cookiescript.min.js
  • https://cookiescript.cdn2.info/libs/cookieconsent.4.min.js
  • https://cookiescript.cdn2.info/libs/cookieconsent.5.min.js
  • https://cookiescript.cdn2.info/libs/cookieconsent.6.min.js

Судя по всему, CookieScript скомпрометировали злоумышленники, во всяком случае, после того как операторов сервиса уведомили о проблеме, майнер вскоре исчез из кода скриптов. Впрочем, по данным издания Bleeping Computer, сайт CookieScript[.]info до сих пор показывает посетителям старую версию собственного скрипта, содержащую майнер. Также проблемы по-прежнему могут наблюдаться у администраторов сайтов, которые скачивали скрипты CookieScript и использовали их локально. Так, если сайт хостит вредоносную версию скрипта с майнером, ее придется заменить на «чистую» версию вручную.

По данным де Грота, из-за майнера в скриптах CookieScript[.]info пострадали как минимум 243 сайта.

Стоит отметить, что по данным американского ИБ-специалиста Троя Марша (Troy Mursch), майнер Crypto-Loot в настоящее время занимает третью по популярности позицию на рынке, после сервисов CoinHive и JSEcoin.

Here’s the number of #cryptojacking websites running a non-#Coinhive #cryptocurrency miner.

JSEcoin: 905

Crypto-Loot: 123

AFMiner: 77

ProjectPoi (PPoi): 50

Coinhave: 43

Coinblind: 12 [not pictured]

Coinerra: 11

MineMyTraffic: 3

Papoto: 1

Source: @publicww pic.twitter.com/k9mylpUGHW

— Bad Packets Report (@bad_packets) November 13, 2017

Также на этой неделе Марш опубликовал отчет, согласно которому майниновые скрипты CoinHive используют уже более 30 000 сайтов. Напомню, что ранее браузерные майнеры CoinHive были обнаружены в коде 2500 интернет-магазинов.