Kryptovaluta-jacking: En stille trussel
Hackere har infisert mer enn 3 500 nettsteder med stealthy kryptovaluta-gruvedriftsskript som stille kaprer besøkendes nettlesere for å generere Monero, en personvernfokusert kryptovaluta designet for å gjøre transaksjoner vanskeligere å spore. Malware stjeler ikke passord eller låser filer. I stedet forvandler det stille besøkendes nettlesere til Monero-gruvedriftmotorer, og tapper små mengder prosessorkraft uten brukerens samtykke.
Kampanjen, som fortsatt er aktiv ved denne skrivningen, ble først avdekket av forskere ved cybersikkerhetsfirmaet c/side. «Ved å begrense CPU-bruken og skjule trafikk i WebSocket-strømmer, unngikk den de typiske tegnene på tradisjonell kryptovaluta-jacking,» avslørte c/side fredag.
Historisk kontekst
Kryptovaluta-jacking, noen ganger skrevet som ett ord, er den uautoriserte bruken av noens enhet for å mine kryptovaluta, vanligvis uten eierens viten. Taktikken fikk først mainstream oppmerksomhet på slutten av 2017 med fremveksten av Coinhive, en nå nedlagt tjeneste som kort tid dominerte kryptovaluta-jacking scenen før den ble stengt ned i 2019.
I samme år har rapporter om dens utbredelse vært motstridende, med noen som fortalte Decrypt at den ikke har returnert til «tidligere nivåer», selv om noen trussel forskningslaboratorier bekreftet en økning på 29 % på den tiden.
En ny tilnærming
Mer enn et halvt tiår senere ser det ut til at taktikken gjør et stille comeback: den omkonfigurerer seg fra støyende, CPU-kvelende skript til lavprofil-gruvere bygget for stealth og utholdenhet. I stedet for å brenne ut enheter, sprer dagens kampanjer seg stille over tusenvis av nettsteder, og følger en ny spillbok som, ifølge c/side, har som mål å «holde seg lavt, mine sakte.»
Det skiftet i strategi er ikke en tilfeldighet, ifølge en informasjonssikkerhetsforsker som er kjent med kampanjen og som snakket med Decrypt på betingelse av anonymitet. Gruppen ser ut til å gjenbruke gammel infrastruktur for å prioritere langsiktig tilgang og passiv inntekt, ble Decrypt fortalt.
«Disse gruppene kontrollerer mest sannsynlig allerede tusenvis av hackede WordPress-nettsteder og e-handelsbutikker fra tidligere Magecart-kampanjer,» fortalte forskeren Decrypt.
Magecart-kampanjer er angrep der hackere injiserer ondsinnet kode i online kasse-sider for å stjele betalingsinformasjon. «Å plante miner var trivielt; de la ganske enkelt til ett skript for å laste den obfuskerte JS, og gjenbrukte eksisterende tilgang,» sa forskeren.
Utfordringer med oppdagelse
Men det som skiller seg ut, sa forskeren, er hvor stille kampanjen opererer, noe som gjør det vanskelig å oppdage med eldre metoder. «En måte tidligere kryptovaluta-jacking-skript ble oppdaget på var ved deres høye CPU-bruk,» ble Decrypt fortalt. «Denne nye bølgen unngår det ved å bruke throttled WebAssembly-gruvere som holder seg under radaren, og begrenser CPU-bruken og kommuniserer over WebSockets.»
WebAssembly gjør det mulig for kode å kjøre raskere inne i en nettleser, mens WebSockets opprettholder en konstant forbindelse til en server. Kombinert gjør disse det mulig for en kryptovaluta-gruvedrift å fungere uten å tiltrekke seg oppmerksomhet.
Risikoen er ikke «direkte rettet mot kryptovaluta-brukere, siden skriptet ikke tømmer lommebøker, selv om de teknisk sett kunne legge til en lommebok-tømmer til payloaden,» fortalte den anonyme forskeren Decrypt. «Det virkelige målet er server- og webapp-eiere,» la de til.
