Home IT Sicherheits Updates Hacker verwenden zunehmend WebAssembly-codierte Cryptominer, um der Entdeckung zu entgehen

Hacker verwenden zunehmend WebAssembly-codierte Cryptominer, um der Entdeckung zu entgehen

by nwna_de

Bis zu 207 Websites wurden mit bösartigem Code infiziert, der entwickelt wurde, um einen Kryptowährungsschürfer zu starten, indem WebAssembly (Wasm) im Browser genutzt wird.

Das Websicherheitsunternehmen Sucuri, das Details der Kampagne veröffentlichte, sagte, es habe eine Untersuchung eingeleitet, nachdem der Computer eines seiner Kunden jedes Mal erheblich verlangsamt wurde, wenn er zu seinem eigenen WordPress-Portal navigierte.

Dabei wurde eine Kompromittierung einer Designdatei aufgedeckt, um schädlichen JavaScript-Code von einem Remote-Server – hxxps://wm.bmwebm – einzufügen[.]org/auto.js – das wird geladen, wenn auf die Seite der Website zugegriffen wird.

„Sobald der Inhalt von auto.js entschlüsselt ist, offenbart er sofort die Funktionalität eines Krypto-Miners, der mit dem Mining beginnt, wenn ein Besucher auf der kompromittierten Website landet“, sagte Sucuri-Malware-Forscher Cesar Anjos sagte.

Darüber hinaus nutzt der entschleierte auto.js-Code WebAssembly, um Low-Level-Binärcode direkt im Browser auszuführen.

Internet-Sicherheit

WebAssemblydas von allen gängigen Browsern unterstützt wird, ist eine binäres Befehlsformat Das bietet Leistungsverbesserungen gegenüber JavaScript, sodass Anwendungen, die in Sprachen wie C, C++ und Rust geschrieben sind, in eine Assembler-ähnliche Low-Level-Sprache kompiliert werden können, die direkt im Browser ausgeführt werden kann.

„Bei Verwendung in einem Webbrowser läuft Wasm in seiner eigenen Sandbox-Ausführungsumgebung“, sagte Anjos. „Da es bereits in ein Assembler-Format kompiliert ist, kann der Browser seine Operationen mit einer Geschwindigkeit lesen und ausführen, mit der JavaScript selbst nicht mithalten kann.“

Die vom Akteur kontrollierte Domäne wm.bmwebm[.]org, soll im Januar 2021 registriert worden sein, was bedeutet, dass die Infrastruktur mehr als 1,5 Jahre lang aktiv blieb, ohne Aufmerksamkeit zu erregen.

WebAssembly Kryptowährungs-Miner

Darüber hinaus bietet die Domain auch die Möglichkeit, automatisch JavaScript-Dateien zu generieren, die sich als scheinbar harmlose Dateien oder legitime Dienste wie die von Google Ads (z. B. adservicegoogle.js, wordpresscore.js und facebook-sdk.js) tarnen sein bösartiges Verhalten verbergen.

„Diese Funktionalität ermöglicht es dem Angreifer auch, die Skripte an mehreren Stellen auf der kompromittierten Website einzuschleusen und dennoch den Anschein zu bewahren, dass Einschleusungen in die Umgebung ‚gehören‘“, bemerkte Anjos.

Dies ist nicht das erste Mal, dass sich die Fähigkeit von WebAssembly, Hochleistungsanwendungen auf Webseiten auszuführen, verbessert hat Potenzial Sicherheit Rote Flaggen.

Internet-Sicherheit

Abgesehen von der Tatsache, dass das Binärformat von Wasm die Erkennung und Analyse durch herkömmliche Antiviren-Engines schwieriger macht, könnte die Technik die Tür für ausgefeiltere browserbasierte Angriffe wie E-Skimming öffnen, die längere Zeit unter dem Radar bleiben können.

Erschwerend kommt hinzu, dass es keine Integritätsprüfungen für Wasm-Module gibt, die es praktisch unmöglich machen, festzustellen, ob eine Anwendung manipuliert wurde.

Um die Sicherheitsschwächen von WebAssembly zu veranschaulichen, a Studie 2020 von einer Gruppe von Wissenschaftlern der Universität Stuttgart und der Universität der Bundeswehr München entdeckte Sicherheitsprobleme, die zum Schreiben in beliebigen Speicher, zum Überschreiben sensibler Daten und zum Hijacking des Kontrollflusses verwendet werden könnten.

Anschließend Forschung veröffentlicht im November 2021 auf der Grundlage einer Übersetzung von 4.469 C-Programmen mit bekannten Pufferüberlauf-Schwachstellen in Wasm festgestellt, dass „das Kompilieren eines vorhandenen C-Programms zu WebAssembly ohne zusätzliche Vorsichtsmaßnahmen die Sicherheit beeinträchtigen kann“.

Via HN