Monero-Mining-Malware infiziert über 3.500 Websites – Kryptojacking erlebt gefährliches Comeback

Cyberkriminelle schlagen wieder zu: Eine weit verbreitete Monero-Mining-Malware hat über 3.500 Websites kompromittiert. Das Kryptojacking-Phänomen erlebt 2025 ein unerwartetes Revival – zur Freude der Angreifer und zum Leidwesen ahnungsloser Nutzer.

Wie die Malware arbeitet: Unsichtbare Miner kapern Rechenleistung und verwandeln sie in Monero – die bevorzugte Kryptowährung für Darknet-Transaktionen. Die infizierten Seiten nutzen Besucher-Devices als kostenlose Mining-Farmen.

Warum jetzt? Während die Finanzwelt sich mit ETF-Approvals und Institutioneller Adoption beschäftigt, nutzen Hacker die Ablenkung für altbewährte Tricks. Ein klassischer Fall von 'Wenn der Wächter den Bärenmarkt beobachtet, stehlen die Füchse das Huhn.'

Die bittere Ironie: Während reguläre Miner mit Stromkosten kämpfen, operieren diese Cyberkriminellen mit negativen Betriebskosten – auf Kosten ahnungsloser Opfer. Ein perfides Geschäftsmodell, das zeigt: In der Krypto-Wildwest bleibt der cleverste Gauner immer im Vorteil.

Wie der Cryptojacking -Code funktioniert

C/Side fand einen Code , der auf einer Website über eine JavaScript-Datei von Drittanbietern aus https: //www.yobox [.] Store/Karma/Karma.js? Karma = bs? nosaj = faser.mo geladen wurde. Anstatt Monero für die Erstausführung abzubauen, überprüft es zunächst, ob der Browser des Benutzers die WebAssembly unterstützt, ein Standard für das Ausführen von Anwendungen mit hohen Verarbeitungsanforderungen.

Der Code wird dann gemessen, wenn das Gerät für den Bergbau geeignet ist, und die Hintergrund -Web -Mitarbeiter als „Worcy“ bezeichnet, die die Bergbauaufgaben diskret übernehmen und den Hauptbrowser -Thread ungestört lassen. Befehle und Bergbauintensitätsstufen werden über WebSocket-Verbindungen aus einem Befehls-und-Kontroll-Server (C2) eingefügt. 

Die Hosting -Domäne des JavaScript -Miner wurde zuvor mit MAGECART -Kampagnen verknüpft, die berüchtigt für die Diebstahl von Zahlungskartendaten. Dies könnte bedeuten, dass die Gruppe hinter der aktuellen Kampagne eine Geschichte in Cyberkriminalität hat. 

Bedrohung verbreitet sich über Website -Exploits

In den letzten Wochen haben Cybersecurity-Slchen mehrere kundenseitige Angriffe auf Websites entdeckt, die auf WordPress ausgeführt werden. Die Forscher entdeckten Infektionsmethoden, die böswillige JavaScript- oder PHP -Code in WP -Websites einbetteten.

Angreifer haben begonnen, das OAuth -System von Google zu missbrauchen, indem sie JavaScript in Callback -Parameter einbetteten, die an URLs wie "Accocts.google.com/o/oauth2/revoke" gebunden sind. Die Weiterleitung führt Browser durch eine getarnte JavaScript -Nutzlast, die eine WebSocket -Verbindung zum Server des schlechten Schauspielers herstellt.

Eine andere Methode injiziert Skripte über Google Tag Manager (GTM), die dann direkt in WordPress -Datenbanktabellen wie wp_options und wp_posts eingebettet sind. Dieses Skript leitet Benutzer stillschweigend auf über 200 Spam -Domänen weiter.

Weitere Ansätze umfassen Änderungen in WordPresss WP-Settings.PHP-Dateien, um Nutzlasten aus ZIP-Archiven zu holen, die auf Remote-Servern gehostet werden. Nach der Aktivierung infizieren diese Skripte die SEO -Ranglisten einer Website und fügen Inhalte hinzu, um die Sichtbarkeit für Betrugswebsites zu verbessern.

In einem Fall wurde Code in das Foot -PHP -Skript eines Themas injiziert, wodurch ein Browser einen Benutzer zu böswilligen Websites umleitet. Ein weiteres beinhaltete ein gefälschtes WordPress -Plugin, das nach der infizierten Domäne benannt wurde, die erkennt, wann Suchmaschinencrawler die Seite besuchen. Es würde dann Inhalt spam, um Suchmaschinen -Ranglisten zu manipulieren, die immer noch vor menschlichen Besuchern verborgen sind.

C/Seite erwähnte, wie Gravity Plugin -Versionen 2.9.11.1 und 2.9.12 in einem Supply -Chain -Angriff über die offizielle Plugin -Stelle beeinträchtigt und verteilt wurden. Die manipulierten Versionen wenden sich an einen externen Server, um zusätzliche Nutzlasten abzurufen und zu versuchen, ein Verwaltungskonto auf der WordPress -Site .

Im Herbst 2024 fiel die US -amerikanische Agentur für internationale Entwicklung (USAID) dem Kryptojacking zum Opfer, nachdem Microsoft die Agentur in einem Testumfeld auf ein verletzendes Administratorkonto aufmerksam gemacht hatte Die Angreifer verwendeten einen Kennwortspray -Angriff, um auf das System zuzugreifen, und erstellten dann ein zweites Konto für Krypto -Bergbauoperationen über die Azure Cloud -Infrastruktur von USAID.

Academy : Kurz DeFi