О том, как я крипту зарабатывал... для других
Подыскивал я очередную ардуину... Захожу я на сайт mgbot.ru, который торгует всякой электроникой и появляется чувство некоторого торможения...
(для ленивых - /bitrix/js/main/core/core_loader.js с сайта в ~75% случаев подгружает майнер)
Проверяюсь - по SHIFT+ESC в Хроме есть свой диспетчер задач. Красота - все 4 ядра процессора почти целиком забиты полезной деятельностью, только мне немного оставили, чтоб казалось, что всё в порядке.
Полез к диспетчеру задач, может быть зря переживаю?
А нет... не зря... Ну что, лунная клизма призма, а нет, ИНСТРУМЕНТЫ РАЗРАБОТЧИКА (F12) дайте мне силы!
Наблюдаются непонятные процессы, которые у честных сайтов обычно отсутствуют в принципе. Как выяснилось - подгружается WASM сборка, которая делает что-то.
Знаем имя файла, можем на вкладке сети посмотреть - кто его вызвал. Какое чудесное имя вызывает эти странные нагрузки - crypta.js, а откуда оно появилось?
Файл crypta.js содержит исключительно не подозрительный текст (пжалте ссылочку - https://reauthenticator.com/lib/crypta.js?w=2028 ) . А вызывается это счастье из https://mgbot.ru/bitrix/js/main/core/core_loader.js?v=0.3.1, который скорей всего входит в типовой набор файлов сайта на битриксе, что как бы намекает, что бедный несчастный программист, живя впроголодь, решил немного обогатиться за счет работой-дателя и всех, у кого есть браузер, имевших несчастье попасть на сайт и дописал несколько строк.
Что же происходит внутри?
1. Случайное число до 4 выбирает, чем мы будем заниматься. Если 1 - то честная деятельность чего-то там, а вот 2-3-4, или если в воздухе повиснет - начинаем обогащать разные кошельки, если я правильно понял текст:
06d93b846706f4dca9996baa15d4d207e82d1e86676c
ef937f99557277ff62a6fc0e5b3da90ea9550ebcdfac
dd27d0676efdecb12703623d6864bbe9f4e7b3f69f2e
2. Подгружается JS-скрипт, который оглядывается в компьютере и начинает полезную деятельность.
Сохранил я этот файл на компьютере, отдал посмотреть VirusTotal, а он и говорит - всего-лишь подозрительное нечто, да и то по мнению только двух антивирусов.
https://www.virustotal.com/#/file/90c563eabc9347d722f65d80c7...
https://www.virustotal.com/#/file/3cc8131d6f631367a77d8e8f07...
Посмотрим на авторов crypta.js - сайт reauthenticator.com перекидывает на:
Кажется тут уже можно остановиться.
Мораль?
1. Программисты тоже бедные люди
2. Если сделал программист доброе дело, ты проверь и выкинь лишнее.
Авторам сайта извещение ушло. Кто хочет приобщиться к криптовалюте бесплатно без смс и установки дополнительных программ - заходите :)
на самом деле там дохода нет, ну войдет пользовтаель на сайт, 20 секунд и ушел, что там успело посчитать = нечего, куча битых шар или уже устревших, в особо удачных случаях будет ну рублей 100 в месяц
админам сайта отпишись, походу их похакали
Вошел. Касперский сразу-же отловил майнера, и запретил ему работу.
Обнаружен объект (файл);
hЫttps://mgbot.ru/bitrix/js/main/core/core_tasker.js?w=72;HEUR:Trojan.Script.Miner.gen;
hЫttps://mgbot.ru/bitrix/js/main/core/core_tasker.js?w=72;Yandex;Троянская программа;
Касперский- молодец, не зря я его кормлю.
Я, конечно, как программист не очень люблю битрикс обычный и 24. Но всё же
"(для ленивых - /bitrix/js/main/core/core_loader.js с сайта в ~75% случаев подгружает майнер)"
Может убрать его из этого пути? Люди будут тупо бояться битрикса (И будут правильно делать, но им с ним всё же работать рано или поздно)