IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

موج جدید کریپتوجکینگ بیش از ۳۵۰۰ وب‌سایت را هدف قرار داد

اخبار داغ فناوری اطلاعات و امنیت شبکه

Takian.ir New Wave of Crypto Hijacking Infects 3500 Websites

کمپین مخفی استخراج ارز دیجیتال

محققان امنیتی از کشف کمپین گسترده‌ای خبر داده‌اند که بیش از ۳۵۰۰ وب‌سایت را با اسکریپت مخرب karma.js آلوده کرده و منابع CPU کاربران را برای استخراج ارز دیجیتال مونرو (Monero) به سرقت می‌برد. این حمله، که از تکنیک‌های پیشرفته WebAssembly و مخفی‌سازی استفاده می‌کند، به‌گونه‌ای طراحی شده که از تشخیص توسط مسدودکننده‌های تبلیغات و ابزارهای امنیتی مرورگرها فرار کند. این موج جدید کریپتوجکینگ، که پس از تعطیلی Coinhive در سال ۲۰۱۹ کاهش یافته بود، نشان‌دهنده بازگشت پیچیده‌تر این نوع حملات است.

جزئیات حمله کریپتوجکینگ چیست؟

  • نوع تهدید: استخراج غیرمجاز ارز دیجیتال (کریپتوجکینگ)

  • ابزار اصلی: اسکریپت karma.js با آدرس https://trustisimportant.fun/karma/karma.js

  • روش اجرا: تزریق یک خط کد data URI در صفحات وب قانونی از طریق ویجت‌های شخص ثالث یا افزونه‌های قدیمی سیستم‌های مدیریت محتوا (CMS).

  • تکنیک‌ها:

    • استفاده از WebAssembly برای استخراج مخفیانه.

    • اختصاص آی‌دی تصادفی به عناصر برای جلوگیری از تشخیص.

    • اتصال WebSocket برای ارسال هش‌ها در زمان واقعی.

  • تأثیر: کاهش اندک سرعت وب‌سایت برای کاربران، افزایش زمان حضور و سودآوری برای مهاجمان.

  • وضعیت: بیش از ۳۵۰۰ وب‌سایت آلوده شناسایی شده‌اند.

این کمپین با حداقل تأثیر روی عملکرد وب‌سایت، به مهاجمان اجازه می‌دهد برای مدت طولانی‌تری مخفی بمانند و سود بیشتری کسب کنند.

حمله چگونه عمل می‌کند؟

  1. تزریق اولیه: کد مخرب از طریق ویجت‌های شخص ثالث یا افزونه‌های قدیمی CMS به وب‌سایت تزریق می‌شود.

  2. بارگذاری اسکریپت: اسکریپت karma.js به‌صورت پویا بارگذاری شده و یک آی‌دی تصادفی برای جلوگیری از شناسایی ایجاد می‌کند.

  3. آزمایش سیستم: بررسی تعداد هسته‌های CPU (navigator.hardwareConcurrency) و پشتیبانی از WebAssembly.

  4. استخراج مونرو: چندین کارگر (worker) فعال شده و از طریق WebSocket هش‌ها را برای استخراج ارسال و دریافت می‌کنند.

  5. مخفی‌سازی: کد مبهم‌سازی‌شده (obfuscated) برای فرار از ابزارهای امنیتی استفاده می‌شود.

این روش‌ها باعث می‌شوند کاربران بدون اطلاع، منابع سیستم خود را در اختیار مهاجمان قرار دهند.

وضعیت فعلی تهدید

این کمپین همچنان فعال است و وب‌سایت‌های آلوده در حال شناسایی هستند. پست‌های منتشرشده در X توسط حساب‌هایی مانند @CyberSec_News و @ThreatIntel_X (۱۷ و ۱۸ ژوئیه ۲۰۲۵) نشان‌دهنده نگرانی جامعه امنیت سایبری درباره بازگشت کریپتوجکینگ است. این حملات با بهره‌گیری از تکنیک‌های پیشرفته، از مسدودکننده‌های تبلیغات و ابزارهای امنیتی مرورگرها فرار می‌کنند. وب‌سایت‌های دارای افزونه‌های قدیمی یا ویجت‌های ناامن بیشترین آسیب‌پذیری را دارند.

چگونه از خود محافظت کنیم؟

  • به‌روزرسانی CMS و افزونه‌ها: سیستم‌های مدیریت محتوا و افزونه‌ها را به آخرین نسخه ارتقا دهید.

  • استفاده از مسدودکننده‌های تبلیغات: از ابزارهایی مانند uBlock Origin برای مسدود کردن اسکریپت‌های مشکوک استفاده کنید.

  • نظارت بر عملکرد: افزایش غیرعادی استفاده از CPU را بررسی کنید.

  • حذف ویجت‌های ناامن: ویجت‌های شخص ثالث غیرمعتبر را از وب‌سایت حذف کنید.

  • پشتیبان‌گیری: از داده‌ها با روش 3-2-1-1-0 (سه نسخه، دو رسانه، یک نسخه آفلاین، یک نسخه غیرقابل‌تغییر، تست بازیابی) محافظت کنید.

  • آموزش کاربران: آگاهی درباره خطرات وب‌سایت‌های ناامن و کلیک روی لینک‌های مشکوک را افزایش دهید.

چرا این تهدید مهم است؟

کریپتوجکینگ به دلیل ماهیت مخفیانه‌اش می‌تواند برای مدت طولانی بدون تشخیص ادامه یابد و منابع کاربران و وب‌سایت‌ها را به سرقت ببرد. این کمپین، با آلوده کردن بیش از ۳۵۰۰ وب‌سایت، نشان‌دهنده پیچیدگی روزافزون حملات سایبری است. گزارش‌ها نشان می‌دهد که کریپتوجکینگ در سال ۲۰۲۵ با استفاده از فناوری‌های جدید مانند WebAssembly در حال افزایش است. وب‌سایت‌ها و کاربران باید اقدامات امنیتی خود را تقویت کنند تا از این تهدیدات در امان بمانند.

 

برچسب ها: Crypto, Browser, شبکه, Network, Cyberattack, Update, cybersecurity, Vulnerability, Chrome, بدافزار, حمله سایبری, news, ZeroDay

نوشته شده توسط تیم خبر.

چاپ ایمیل