По мере роста стоимости единицы криптовалюты майнинг превращается в настоящую болезнь, которая поражает все на своем пути. Сначала майнеры стали появляться на непопулярных сайтах и в приложениях, а потом начали атаковать более значимые продукты. Добрались они и до диспетчера тегов Google.
Это значит, что хакеры получили больше возможностей для того, чтобы майнить криптовалюту, используя для этого вычислительные мощности компьютеров ничего не подозревающих пользователей.
Впервые о появлении майнера в диспетчере тегов Google заявил исследователь Трой Мурш. Проблему он выявил во время посещения сайта Globovisión. Этот ресурс представляет собой круглосуточную телевизионную станцию, которая покрывает Латинскую Америку и Венесуэлу. Специалисту удалось обнаружить на страницах этого ресурса код JavaScript, с помощью которого хакерам удалось встроить майнер Coin Hive.
Обнаружив встроенный посторонний код, эксперт решил разобраться, откуда он появился на сайте. Как удалось выяснить в ходе изучения, источником кода стал встроенный скрипт диспетчера тегов Google gtm.js?id=GTM-KCDXG2D, который использовался для cryptonight.wasm.
Как известно, с помощью диспетчера тегов можно создавать код, размещаемый на веб-страницах и используемый для динамического добавления некоторых фрагментов JavaScript. По мнению специалиста, такой способ обеспечивает более удобный контроль и гибкие настройки, что намного лучше, чем стандартный способ доставки кода.
Так как для обслуживания обнаруженного кода использовался Google Tag Manager, то в исходных файлах, размещенных на веб-сервере он отсутствовал. По сути таким способом злоумышленники умудряются взломать сайт, добавить на него теги, содержащие фрагменты вредоносного кода. Это позволяет им запутать источник и скрыто добавить на сайт майнер криптовалюты.
Мурш рассказал, что майнер криптовалюты удалили с сайта Globovisión уже через час после обнаружения. При этом большинство посетителей даже не догадались о том, что во время посещения страниц данного ресурса мощности их компьютеров использовались для добычи криптовалюты. Эксперт рассказал, что в большинстве случаев вредоносный код попадает на сайт во время установки сторонних каких-то шаблонов или библиотек, которые позволяет внедрять сторонний код с помощью тега HTML. При этом до сих пор неясно, как именно и кто добавил майнер на сайт круглосуточной телевизионной станции.