Хакеры майнят настолько скрытно, что заметить их почти невозможно. А вы бы распознали?

EverythingIsLife превратил интернет в гигантскую криптоферму — и вы даже не заметили

Эксперты из cside выявили крупнейшую за последние годы кампанию по скрытому майнингу: вредоносный код был найден на более чем 3 500 сайтах. Это своеобразное возвращение Coinhive из 2017 года — но в более умной и незаметной форме.

В отличие от старых схем, новая не перегружает систему и не вызывает всплесков трафика. Скрипт глубоко встраивается в страницы, работает в фоне и использует ресурсы браузера с минимальной нагрузкой, превращая компьютер пользователя в «тихую» часть криптофермы.

Анализ начался с подозрительного скрипта на домене yobox[.]store. На первый взгляд он казался безвредным — не было ни сетевых запросов, ни CPU-активности. Но поведенческий анализ ИИ показал скрытую угрозу. Оказалось, что код шифруется, загружается с задержкой, а затем активирует майнер через цепочку переходов между доменами, включая trustisimportant.fun.

Ключевая функция скрипта — EverythingIsLife — запускается с параметрами, ограничивающими использование CPU до 50% и маскирует майнинг под обычные процессы. Она создаёт группу Web Workers, работающих в фоне и связывающихся с управляющим сервером через WebSocket.

Маскировка — на высшем уровне: нагрузка адаптируется под устройство, используется HTTPS и WebAssembly, а обнаружить процесс сложно даже антивирусам. Особенно тревожно, что та же инфраструктура ранее применялась в кражах банковских данных (Magecart), что говорит о повторном использовании ресурсов для разных атак.

Специалисты советуют защищаться с помощью Content Security Policy, анализа JavaScript в реальном времени и мониторинга WebSocket-трафика. Современные угрозы становятся всё менее заметными, но более масштабными и долговременными.