صدها وبسایت که از سیستم مدیریت محتوای دروپال (Drupal) استفاده می‌کنند، توسط یک کارزار ارزکاوی بدخواه، هدف قرار گرفته اند. بدافزار مورد استفاده در این کارزار از یک آسیب پذیری دروپال سوء استفاده می‌کند که بیش از یک ماه قبل اعلام و وصله شده بود، اما عدم به روز رسانی دروپال توسط برخی کاربران به این بدافزار امکان عرض اندام میدهد.

ارزکاوی بدخواهانه یا cryptojacking، نوعی تهدید سایبری است که مهاجم از توان پردازشی کامپیوتری قربانی برای استخراج ارزهای دیجیتال سوء استفاده می‌کند. دروپال، 28 مارس (8 فروردین) اعلام کرده بود که نوعی آسیب‌پذیری اجرای کد از راه دور (Remote Code Execution) را کشف و وصله کرده است (CVE-2018-7600). اکنون، با بهره گیری از این آسیب پذیری یک کارزار ارزکاوی به راه افتاده که چندین وبسایت را از جمله بیش از 400 وبسایت دولتی و دانشگاهی را هدف قرار داده است و از توان پردازشی کامپیوتر بازدیدکنندگان این وبسایت‌ها برای استخراج ارز استفاده می‌کند.

در ابتدای امر، Troy Mursch، محقق موسسه تحقیقاتی Bad Packet Reports، گزارش‌هایی از چند سایت مورد هجوم دریافت کرد و به بررسی آن‌ها پرداخت. با بررسی‌های وی مشخص شد که گرچه در این حملات از payloadهای مختلفی استفاده شده بود، همه آن ها دارای وجه مشترکی بودند: همه آنها به یک کد جاوااسکریپت اشاره می‌کردند که در این url قرار داشت: http://vuuwd.com/t.js.

با مراجعه به این url و تحلیل کد جاوااسکریپت آن، نوعی پیاده سازی Coinhive مشاهده شد. سپس Mursch با جستجوی وب، لیستی از سایتهای قربانی را تشکیل داده و اعلام کرد.

تکمیلی: ساعاتی پیش Mursch در اکانت تویتر خود اعلام کرد که Coinhive کلید مورد استفاده در این کارزار را غیرفعال کرده است. همچنین دامنه vuuwd.com از دسترس خارج شده است.

منبع 1