Kryptovaluta-jacking: En Tyst Återkomst
Hackare har infekterat mer än 3 500 webbplatser med kryptovaluta-gruvskript som tyst kapar besökarnas webbläsare för att generera Monero, en integritetsfokuserad kryptovaluta som är utformad för att göra transaktioner svårare att spåra. Malware stjäl inte lösenord eller låser filer; istället förvandlar det tyst besökarnas webbläsare till Monero-gruvmaskiner och utnyttjar små mängder processorkraft utan användarens samtycke.
Kampanjen, som fortfarande är aktiv vid skrivande stund, upptäcktes först av forskare vid cybersäkerhetsföretaget c/side. ”Genom att begränsa CPU-användningen och dölja trafiken i WebSocket-strömmar undvek den de typiska tecknen på traditionell kryptovaluta-jacking,” avslöjade c/side i fredags.
Historik och Utveckling
Kryptovaluta-jacking, ibland stavat som ett ord, är den obehöriga användningen av någons enhet för att bryta kryptovaluta, vanligtvis utan ägarens vetskap. Taktiken fick först mainstream-uppmärksamhet i slutet av 2017 med uppkomsten av Coinhive, en numera nedlagd tjänst som kortvarigt dominerade kryptovaluta-jacking scenen innan den stängdes ner 2019.
Under samma år blev rapporterna om dess utbredning motstridiga, där vissa berättade för Decrypt att den inte hade återvänt till ”tidigare nivåer”, även om vissa hotforskningslaboratorier bekräftade en ökning på 29 % vid den tiden. Mer än ett halvt decennium senare verkar taktiken göra en tyst comeback: den omkonfigurerar sig själv från högljudda, CPU-kvävande skript till lågprofilgruvor byggda för smyg och uthållighet.
Strategi och Tekniker
Istället för att bränna ut enheter sprider sig dagens kampanjer tyst över tusentals webbplatser, följande en ny handbok som, som c/side uttrycker det, syftar till att ”hålla sig låg, bryta långsamt.” Denna strategiförändring är ingen tillfällighet, enligt en informationssäkerhetsforskare som är bekant med kampanjen och talade med Decrypt under förutsättning av anonymitet.
”Dessa grupper kontrollerar troligen redan tusentals hackade WordPress-webbplatser och e-handelsbutiker från tidigare Magecart-kampanjer,” berättade forskaren för Decrypt.
Magecart-kampanjer är attacker där hackare injicerar skadlig kod i online-kassasidor för att stjäla betalningsinformation. ”Att plantera minern var trivialt; de lade helt enkelt till ett skript för att ladda den obfuskerade JS och återanvände befintlig åtkomst,” sa forskaren.
Men det som står ut, sa forskaren, är hur tyst kampanjen verkar, vilket gör den svår att upptäcka med äldre metoder. ”Ett sätt som tidigare kryptovaluta-jacking-skript upptäcktes var genom deras höga CPU-användning,” fick Decrypt veta. ”Denna nya våg undviker det genom att använda begränsade WebAssembly-gruvor som håller sig under radarn, begränsar CPU-användningen och kommunicerar över WebSockets.”
WebAssembly möjliggör att kod körs snabbare inuti en webbläsare, medan WebSockets upprätthåller en konstant anslutning till en server. Tillsammans möjliggör dessa att en kryptovaluta-gruva kan arbeta utan att dra uppmärksamhet.
Risker och Mål
Risken är inte ”direkt riktad mot kryptovaluta-användare”, eftersom skriptet inte tömmer plånböcker, även om de tekniskt sett skulle kunna lägga till en plånbokstömmande funktion i payloaden, berättade den anonyma forskaren för Decrypt. ”Det verkliga målet är server- och webbapplikationsägare,” tillade de.
