Hakkerit ja kryptovaluuttakaivostoiminta
Hakkerit ovat infektoineet yli 3,500 verkkosivustoa huomaamattomilla kryptovaluuttakaivostoiminnoilla, jotka salaa kaappaavat kävijöiden selaimia tuottaakseen Moneroa, yksityisyyteen keskittyvää kryptovaluuttaa. Tämä kryptovaluutta on suunniteltu tekemään transaktioista vaikeampia jäljittää.
Toimintatapa
Haittaohjelma ei varasta salasanoja tai lukitse tiedostoja, vaan muuttaa hiljaa kävijöiden selaimet Monero-kaivostoimintakoneiksi, imemällä pieniä määriä prosessointitehoa ilman käyttäjän suostumusta. Kampanja, joka on edelleen aktiivinen tämän kirjoituksen aikaan, paljastettiin ensimmäisen kerran kyberturvallisuusyritys c/siden tutkijoiden toimesta.
”Rajoittamalla CPU-käyttöä ja piilottamalla liikennettä WebSocket-virroissa, se vältti perinteisen kryptojackingin ilmeiset merkit,” c/side paljasti perjantaina.
Kryptojackingin historia
Kryptojacking, joskus kirjoitettuna yhteen, tarkoittaa luvattoman käytön kaivamista kryptovaluuttaa jonkun laitteen avulla, tyypillisesti ilman omistajan tietämystä. Taktikka sai ensimmäisen kerran valtavirran huomiota loppuvuodesta 2017 Coinhiven nousun myötä, joka oli nyt lakkautettu palvelu.
Yli puoli vuosikymmentä myöhemmin taktiikka näyttää tekevän hiljaista paluuta: se muuttaa itseään meluisista, CPU:ta tukahduttavista skripteistä matalan profiilin kaivostoimijoiksi, jotka on rakennettu huomaamattomuuteen ja pysyvyyteen.
Nykyiset kampanjat
Nykyiset kampanjat leviävät hiljaa tuhansille sivustoille, seuraten uutta pelikirjaa, joka, kuten c/side sanoo, pyrkii ”pysymään alhaalla, kaivamaan hitaasti.” Tämä strategian muutos ei ole sattumaa, kertoo Decryptille nimettömänä pysynyt tietoturvatutkija.
Ryhmät näyttävät käyttävän vanhaa infrastruktuuria priorisoidakseen pitkäaikaista pääsyä ja passiivista tuloa. ”Nämä ryhmät todennäköisesti hallitsevat jo tuhansia hakkeroituja WordPress-sivustoja ja verkkokauppoja aikaisemmista Magecart-kampanjoista,” tutkija kertoi Decryptille.
”Kaivostoimijan istuttaminen oli triviaalista; he yksinkertaisesti lisäsivät yhden skriptin, joka lataa obfuskoidun JS:n, hyödyntäen olemassa olevaa pääsyä,” tutkija sanoi.
Havaitsemisen vaikeus
Mikä erottuu, on kuinka hiljaa kampanja toimii, mikä tekee sen havaitsemisesta vaikeaa vanhemmilla menetelmillä. ”Yksi tapa, jolla aikaisempia kryptojacking-skriptejä havaittiin, oli niiden korkea CPU-käyttö,” Decryptille kerrottiin.
Uusi aalto välttää tämän käyttämällä rajoitettuja WebAssembly-kaivostoimijoita, jotka pysyvät radarilla, rajoittaen CPU-käyttöä ja kommunikoimalla WebSocketien kautta. WebAssembly mahdollistaa koodin suorittamisen nopeammin selaimessa, kun taas WebSocketit ylläpitävät jatkuvaa yhteyttä palvelimeen.
Riski ja kohteet
Riski ei ole ”suoraan kryptovaluuttakäyttäjien kohdistaminen,” koska skripti ei tyhjennä lompakoita, vaikka teknisesti he voisivat lisätä lompakon tyhjentäjän kuormaan. ”Todellinen kohde on palvelin- ja verkkosovellusten omistajat,” he lisäsivät.
