3.500 websites gekaapt om in het geheim Crypto te ontginnen met Stealth JavaScript en Websocket Tactics

Cyberbeveiliging
3.500 websites gekaapt om in het geheim Crypto te ontginnen met Stealth JavaScript en Websocket Tactics

Een nieuwe aanvalscampagne heeft wereldwijd meer dan 3.500 websites aangetast met JavaScript Cryptocurrency Miners, wat de terugkeer van browser-gebaseerde cryptojacking-aanvallen markeert die ooit populair werden gemaakt door Coinhive.

Hoewel de service sindsdien is gesloten nadat browserfabrikanten stappen hebben ondernomen om mijnwerkgerelateerde apps en add-ons te verbieden, zeiden onderzoekers van de C/Side dat ze bewijs vonden van een heimelijke mijnwerker verpakt in obfusced JavaScript dat de rekenkracht van een apparaat beoordeelt en achtergrondwebedewerkers spawnen om mijnbouwtaken uit te voeren zonder alarm te razen.

Wat nog belangrijker is, de activiteit is gevonden om websockets te benutten om mijntaken van een externe server op te halen, om de mijnbouwintensiteit dynamisch aan te passen op basis van de apparaatmogelijkheden en dienovereenkomstig de consumptie van de bronnen om stealth te behouden.

“Dit was een stealth -mijnwerker, ontworpen om detectie te voorkomen door onder de radar van zowel gebruikers als beveiligingshulpmiddelen te blijven,” zei beveiligingsonderzoeker Himanshu Anand.

Het netto resultaat van deze aanpak is dat gebruikers onbewust cryptocurrency zouden mijnen terwijl ze door de gecompromitteerde website bladeren, waardoor hun computers worden omgezet in geheime crypto -generatiemachines zonder hun medeweten of toestemming. Precies hoe de websites worden geschonden om in browser mijnbouw te vergemakkelijken, is momenteel niet bekend.

Verdere dissectie heeft vastgesteld dat meer dan 3.500 websites zijn verstrikt in de uitgestrekte illegale crypto -mijnbouwinspanningen, waarbij het domein de JavaScript -mijnwerker host, ook gekoppeld aan Magecart -creditcard skimmers in het verleden, wat wijst op pogingen van de aanvallers om hun payloads en inkomstenstromen te diversifiëren.

Het gebruik van dezelfde domeinen om zowel mijnwerkers- als creditcard -kaartuitvoercripts te leveren, geeft het vermogen van de dreigingsacteurs om JavaScript en podium opportunistische aanvallen te bewapenen gericht op niet -verwerkende bezoekers van de site.

“Aanvallers geven nu prioriteit aan stealth boven diefstal van brute-force resource, met behulp van obfuscatie, websockets en hergebruik van infrastructuur om verborgen te blijven,” zei C/Side. “Het doel is niet om apparaten onmiddellijk af te voeren, het is om in de loop van de tijd hardnekkig bronnen te overhevelen, zoals een digitale vampier.”

De bevindingen vallen samen met een magecart skimming-campagne die zich richt op East Aziatische e-commerce websites met behulp van het OpenCart Content Management System (CMS) om een nep-betalingsformulier te injecteren tijdens het afrekenen en financiële informatie verzamelen, inclusief bankgegevens, van slachtoffers. De vastgelegde informatie wordt vervolgens geëxfiltreerd naar de server van de aanvaller.

In de afgelopen weken zijn vastgestelde aanslagen en website-georiënteerde aanvallen gevonden om verschillende vormen aan te nemen-

  • Gebruikmakend van JavaScript-insluitingen die de callback-parameter misbruiken die is geassocieerd met een legitiem Google OAuth Endpoint (“Accounts.google (.) Com/O/OAuth2/Revoke”) om om te leiden naar een verduisterde JavaScript
  • Het script van Google Tag Manager (GTM) gebruiken die rechtstreeks in de WordPress -database is geïnjecteerd (dwz WP_Options en WP_Posts -tabellen) om externe JavaScript te laden die bezoekers omleidt naar meer dan 200 sites naar spamdomeinen
  • Het compromitteren van het WP-Settings.PHP-bestand van een WordPress-site om een kwaadaardig PHP-script rechtstreeks vanuit een ZIP-archief op te nemen dat verbinding maakt met een command-and-control (C2) -server en uiteindelijk gebruik maakt
  • Het injecteren van kwaadaardige code in het PHP -script van een WordPress -sitethema naar serverbrowser omleidingen
  • Met behulp van een nep WordPress -plug -in vernoemd naar het geïnfecteerde domein om detectie te ontwijken en alleen in actie te springen wanneer zoekmachines worden gedetecteerd om spam -inhoud te bedienen die is ontworpen om de resultaten van zoekmachines te manipuleren
  • Distributie van achterdeur versies van de WordPress Plugin Gravity Forms (alleen treffende versies 2.9.11.1 en 2.9.12) via de officiële downloadpagina in een supply chain -aanval die contact maakt

“Indien geïnstalleerd, blokkeren de kwaadaardige codemodificaties pogingen om het pakket bij te werken en proberen een externe server te bereiken om extra payload te downloaden,” zei RocketGenius, het team achter Gravity Forms.

“Als het erin slaagt deze lading uit te voeren, zal het proberen een administratief account toe te voegen. Dat opent een achterdeur naar een reeks andere mogelijke kwaadaardige acties, zoals uitbreiding van externe toegang, extra ongeautoriseerde willekeurige willekeurige code -injecties, manipulatie van bestaande admin -accounts en toegang tot opgeslagen WordPress -gegevens.”

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Poisonseed hackers omzeilen FIDO-toetsen met behulp van QR Phishing en cross-device aanmelding misbruik

Officiële Google Pixel 10 Renders

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]