О том, как я крипту зарабатывал... для других
Подыскивал я очередную ардуину... Захожу я на сайт mgbot.ru, который торгует всякой электроникой и появляется чувство некоторого торможения...
(для ленивых - /bitrix/js/main/core/core_loader.js с сайта в ~75% случаев подгружает майнер)
Проверяюсь - по SHIFT+ESC в Хроме есть свой диспетчер задач. Красота - все 4 ядра процессора почти целиком забиты полезной деятельностью, только мне немного оставили, чтоб казалось, что всё в порядке.
Полез к диспетчеру задач, может быть зря переживаю?
А нет... не зря... Ну что, лунная клизма призма, а нет, ИНСТРУМЕНТЫ РАЗРАБОТЧИКА (F12) дайте мне силы!
Наблюдаются непонятные процессы, которые у честных сайтов обычно отсутствуют в принципе. Как выяснилось - подгружается WASM сборка, которая делает что-то.
Знаем имя файла, можем на вкладке сети посмотреть - кто его вызвал. Какое чудесное имя вызывает эти странные нагрузки - crypta.js, а откуда оно появилось?
Файл crypta.js содержит исключительно не подозрительный текст (пжалте ссылочку - https://reauthenticator.com/lib/crypta.js?w=2028 ) . А вызывается это счастье из https://mgbot.ru/bitrix/js/main/core/core_loader.js?v=0.3.1, который скорей всего входит в типовой набор файлов сайта на битриксе, что как бы намекает, что бедный несчастный программист, живя впроголодь, решил немного обогатиться за счет работой-дателя и всех, у кого есть браузер, имевших несчастье попасть на сайт и дописал несколько строк.
Что же происходит внутри?
1. Случайное число до 4 выбирает, чем мы будем заниматься. Если 1 - то честная деятельность чего-то там, а вот 2-3-4, или если в воздухе повиснет - начинаем обогащать разные кошельки, если я правильно понял текст:
06d93b846706f4dca9996baa15d4d207e82d1e86676c
ef937f99557277ff62a6fc0e5b3da90ea9550ebcdfac
dd27d0676efdecb12703623d6864bbe9f4e7b3f69f2e
2. Подгружается JS-скрипт, который оглядывается в компьютере и начинает полезную деятельность.
Сохранил я этот файл на компьютере, отдал посмотреть VirusTotal, а он и говорит - всего-лишь подозрительное нечто, да и то по мнению только двух антивирусов.
https://www.virustotal.com/#/file/90c563eabc9347d722f65d80c7...
https://www.virustotal.com/#/file/3cc8131d6f631367a77d8e8f07...
Посмотрим на авторов crypta.js - сайт reauthenticator.com перекидывает на:
Кажется тут уже можно остановиться.
Мораль?
1. Программисты тоже бедные люди
2. Если сделал программист доброе дело, ты проверь и выкинь лишнее.
Авторам сайта извещение ушло. Кто хочет приобщиться к криптовалюте бесплатно без смс и установки дополнительных программ - заходите :)
Информационная безопасность IT
1.4K поста25.6K подписчиков
Правила сообщества
Обязательно к прочтению для авторов:
1. Если вы добавляете пост, утверждающий об утечке данных или наличии дыр в системе, предоставьте ссылку на источники или технически подкованное расследование. Посты из разряда "Какой-то банк слил данные, потому что мне звонили мошенники" будут выноситься в общую ленту.
2. Все вопросы "Как обезопасить сервер\приложение\устройство" - в лигу "Компьютер это просто".
Обязательно к прочтению для всех:
Добавление ссылки разрешено если она не содержит описание коммерческих (платных) продуктов и/или идентификаторов для отслеживания перехода и для доступа не нужен пароль или оплата в т.ч. интернет-ресурсы, каналы (от 3-х тематических видео), блоги, группы, сообщества, СМИ и т.д.
Запрещены политические holy wars.
По решению модератора или администратора сообщества пользователь будет забанен за:
1. Флуд и оскорбление пользователя, в т.ч. провокация спора, флуда, холивара (высказывание без аргументации о конкретной применимости конкретного решения в конкретной ситуации), требование уже данного ответа, распространение сведений порочащих честь и репутацию, принижающих квалификацию оппонента, переходы на личности.
2. Публикацию поста/комментария не соответствующего тематике сообщества, в том числе обсуждение администраторов и модераторов сообщества, для этого есть специальное сообщество.
3. За обвинение в киберпреступной деятельности.
4. За нарушение прочих Правил Пикабу.