Kryptovaluta-mining via inficerede hjemmesider
Hackere har inficeret mere end 3.500 hjemmesider med snedige kryptovaluta-mining scripts, der stille og roligt overtager besøgendes browsere for at generere Monero, en privatlivsfokuseret kryptovaluta designet til at gøre transaktioner sværere at spore. Malware’en stjæler ikke adgangskoder eller låser filer; i stedet forvandler den stille besøgendes browsere til Monero-mining motorer, der suger små mængder af processorkraft uden brugerens samtykke.
Aktiv kampagne og opdagelse
Kampagnen, som stadig er aktiv på tidspunktet for denne skrivning, blev først afdækket af forskere fra cybersikkerhedsfirmaet c/side. “Ved at begrænse CPU-brugen og skjule trafik i WebSocket-strømme undgik den de karakteristiske tegn på traditionel kryptojacking,” afslørede c/side fredag.
Kryptojacking, nogle gange stavet som ét ord, er den uautoriserede brug af en persons enhed til at mine kryptovaluta, typisk uden ejerens viden.
Taktikken fik først mainstream opmærksomhed i slutningen af 2017 med fremkomsten af Coinhive, en nu nedlagt tjeneste, der kortvarigt dominerede kryptojacking-scenen, før den blev lukket i 2019. I samme år blev rapporter om dens udbredelse modstridende, idet nogle fortalte Decrypt, at den ikke var vendt tilbage til “tidligere niveauer”, selvom nogle trusselundersøgelseslaboratorier bekræftede en stigning på 29 % på det tidspunkt.
En ny strategi for kryptojacking
Mere end et halvt årti senere ser det ud til, at taktikken er ved at gøre et stille comeback: den omkonfigurerer sig selv fra støjende, CPU-udmattende scripts til lavprofilerede minere bygget til snedighed og vedholdenhed. I stedet for at brænde enhederne ud, spreder dagens kampagner sig stille over tusindvis af hjemmesider, efter en ny spillebog, der, som c/side siger, sigter mod at “holde sig lavt, mine langsomt.”
Dette skift i strategi er ikke en tilfældighed, ifølge en informationssikkerhedsforsker, der er bekendt med kampagnen og talte med Decrypt under betingelse af anonymitet. Gruppen ser ud til at genbruge gammel infrastruktur for at prioritere langsigtet adgang og passiv indkomst, blev Decrypt fortalt.
“Disse grupper kontrollerer sandsynligvis allerede tusindvis af hackede WordPress-sider og e-handelsbutikker fra tidligere Magecart-kampagner,” sagde forskeren til Decrypt.
Magecart-kampagner er angreb, hvor hackere injicerer ondsindet kode i online betalingsider for at stjæle betalingsoplysninger. “At plante mineren var trivielt; de tilføjede blot endnu et script for at indlæse den obfuskerede JS og genbrugte eksisterende adgang,” sagde forskeren.
Stille operationer og nye metoder
Men hvad der skiller sig ud, sagde forskeren, er, hvor stille kampagnen opererer, hvilket gør det svært at opdage med ældre metoder. “En måde, hvorpå tidligere kryptojacking scripts blev opdaget, var ved deres høje CPU-brug,” blev Decrypt fortalt. “Denne nye bølge undgår det ved at bruge throttled WebAssembly-minere, der holder sig under radaren, begrænser CPU-brugen og kommunikerer over WebSockets.”
WebAssembly muliggør, at kode kan køre hurtigere inde i en browser, mens WebSockets opretholder en konstant forbindelse til en server. Sammen gør disse det muligt for en kryptovaluta-miner at arbejde uden at tiltrække opmærksomhed.
Risikoen er ikke “direkte rettet mod kryptovaluta-brugere, da scriptet ikke tømmer tegnebøger, selvom de teknisk set kunne tilføje en tegnebogstømmer til payloaden,” sagde den anonyme forsker til Decrypt. “Det virkelige mål er server- og webapp-ejere,” tilføjede de.
