Penelitian Mengkonfirmasi Cryptojacking Tetap Sangat Populer Di Antara Para Penjahat

Sudah lama sejak cryptojacking menjadi berita utama media. Aktivitas keji ini memungkinkan para penjahat mengeksploitasi sumber daya komputasi pengunjung situs web untuk menambang cryptocurrency tanpa persetujuan. Sebuah laporan baru oleh Troy Mursch menyarankan kode Coinhive aktif di hampir 400 situs web. Dalam banyak kasus, kode ini disuntikkan oleh penjahat, bukan oleh pemilik situs.

CRYPTOJACKING TETAP MASALAH BESAR
Siapa pun yang telah memperhatikan perkembangan dalam industri cryptocurrency tahun terakhir ini akan menemukan istilah cryptojacking . Awalnya disebut sebagai "penambangan di-browser", konsep ini dengan cepat menjadi alat favorit di antara para penjahat. Dengan menyuntikkan kode penambangan ke situs web populer, penjahat dapat secara pasif mendapatkan pendapatan cryptocurrency dengan membajak sumber daya komputasi dari siapa pun yang mengunjungi situs web yang terinfeksi.

Meskipun ada kasus penggunaan yang sah untuk kegiatan ini, mereka tampaknya dikerdilkan oleh proyek-proyek berbahaya. Peneliti Troy Mursch baru-baru ini meluncurkan laporan baru yang mendokumentasikan tren cryptojacking. Ini melukiskan gambar yang sangat merepotkan, karena kode penambangan dalam-browser Coinhive digunakan pada hampir 400 situs web utama tanpa persetujuan pengguna. Daftar ini termasuk Kebun Binatang San Diego, Lenovo, dan beberapa situs populer lainnya. Tidak mengherankan, itu juga termasuk situs web yang terkait dengan pemerintah AS.

Meskipun temuan ini tidak datang sebagai kejutan nyata, mereka menunjukkan masalah besar yang perlu ditangani. Karena begitu banyak situs yang menjadi host skrip penambangan Coinhive tanpa menyadarinya, mereka semua tampaknya menderita karena keamanan situs web yang tidak stabil secara umum. Dibutuhkan sedikit usaha bagi para penjahat untuk mengeksploitasi situs web yang ada dan menyuntikkan kode untuk menambang cryptocurrency secara khusus. Mengapa situs-situs tertentu ini rentan di tempat pertama masih belum diketahui.

Laporan tersebut menggambarkan serangan menggunakan versi Drupal yang sudah ketinggalan zaman sebagai berikut:

Menggali lebih dalam kampanye cryptojacking, saya menemukan dalam kedua kasus bahwa Coinhive disuntikkan melalui metode yang sama. Kode berbahaya itu terdapat di pustaka JavaScript "/misc/jquery.once.js?v=1.2". Segera setelah itu, saya diberi tahu tentang situs yang disusupi tambahan menggunakan payload yang berbeda. Namun, semua situs yang terinfeksi menunjuk ke domain yang sama menggunakan kunci situs Coinhive yang sama.

Seperti yang diharapkan, banyak situs web yang rentan dihosting oleh penyedia yang sama - Amazon - dan mereka berlokasi di AS. Ini menunjukkan bahwa pengguna Amazon tidak selalu memperbarui semua perangkat lunak yang berjalan pada server tersebut secara manual, yang membuka pintu bagi para penjahat untuk mengambil keuntungan dari masalah ini.

Bagi mereka yang tidak sadar, script penambangan Coinhive digunakan untuk menambang cryptocurrency Monero. Karena anonimitas mata uang ini, dengan cepat mendapatkan traksi di antara orang-orang yang tidak ingin transaksi mereka dilacak pada blockchain. Tidak jelas berapa banyak XMR yang dihasilkan melalui upaya cryptojacking ini, tetapi yakinlah bahwa sejumlah uang yang dihasilkan dari situs-situs tersebut cukup banyak.