Согласно принятым недавно правилам, сайты должны предупреждать пользователей о сборе файлов cookie. В связи с этими нормами на некоторых ресурсах появляются соответствующие уведомления. Они как раз и привлекли внимание хакеров, которые решили использовать эти уведомления для собственного обогащения.
Владельцы сайтов всегда могут воспользоваться бесплатным скриптом, который используется для демонстрации уведомлений о сборе файлов cookie. Но злоумышленники нашли этому скрипту другое применение. Они научились через него встраивать в сайты майнеры криптовалюты через браузер.
Скрытый майнер, установленный таким образом, удалось обнаружить исследователю ИБ Виллему де Грооту. Причем майнингом криптовалюты для злоумышленников через браузеры пользователей занимался сайт самой крупной в Нидерландах сети магазинов Albert Heijn.
После подробного анализа файлов JavaScript, используемых на сайте, специалист обнаружил cookiescript.min.js. Этот файл загружался с cookiescript.info. Вроде бы все выполнено согласно требованиям Европейского Союза относительно демонстрации уведомлений о сборе и использовании файлов cookie. Указанный домен имеет официальную регистрацию на сервисе Cookie Consent, который создан специально для выполнения требований ЕС.
Сервис используется для генерации кода, который впоследствии веб-мастер может встроить в общий код сайта. Де Грооту удалось выяснить, что на этом официальном сервисе один из JavaScript-файлов имел встроенный код майнера криптовалюты, с помощью которого хакеры могли наладить добычу криптовалюты в браузерах посетителей сайтов.
Как и все прочие аналогичные встраиваемые майнеры, этот настроен на добычу криптовалюты Monero.
После того, как администрация сервиса Cookie Consent узнала о наличии в уведомлениях вредоносного кода, она предприняла все необходимые меры.
Обнаруженный в скриптах майнер носит название Crypto-Loot. По предварительным данным, он входит в тройку самых популярных добытчиков криптовалюты, используемых хакерами. Популярнее его только Coinhive и JSEcoin. Но Crypto-Loot распространяется очень быстрыми темпами. Только в рамках описанной выше кампании до Грооту удалось обнаружить встроенный майнер на более чем 240 сайтах.