Я тут писал про вирус, позволяющий его хозяину майнить криптовалюту Monero
посредством броузеров посетителей зараженного сайта (оригинал).
Интересной особенностью также было использование GitHub
в качестве базы распространения.
В один из файлов шаблона темы Вордпресса внедряется зашифрованный код, вроде того как на первой картинке. После декодирования он выглядит как на следующих трех картинках (см. источник). Это CoinHive Injection
. Зловредный код выходит на поверхность только для живых посетителей и прячется от ботов, поисковиков и прочих бесполезных для него визитеров. На четвертой картинке представлен сторонний js
код, используемый для заражения.
Больше технических подробностей — в оригинальной статье.
Источник: VK.com