WebAssembly используется для майнинга в браузере
27/07/22
207 веб-сайтов заражены вредоносным кодом, предназначенным для запуска криптомайнера с использованием WebAssembly (Wasm) в браузере. ИБ-компания Sucuri опубликовала подробности кампании и заявила о начале расследование после того, как компьютер одного из ее клиентов значительно замедлялся каждый раз при переходе на собственный портал WordPress.
Это выявило компрометацию файла темы для внедрения вредоносного JavaScript кода с удаленного сервера «hxxps://wm.bmwebm[.]org/auto.js», который загружался при каждом доступе к странице сайта, пишут в Securitylab.
Исследователь вредоносных программ Sucuri Сесар Анжос сказал, что после декодирования содержимое файла «auto.js» сразу раскрыло функциональность криптомайнера, который начал добычу после посещения пользователем взломанного сайта. Более того, деобфусцированный код «auto.js» использовал WebAssembly для запуска низкоуровневого двоичного кода непосредственно в браузере.
По словам Анжоса, при использовании в браузере Wasm работает в собственной изолированной среде выполнения. Поскольку он уже скомпилирован в формат сборки, браузер может читать и выполнять свои операции со скоростью, с которой сам JavaScript не может справиться.
Утверждается, что контролируемый злоумышленником домен «wm.bmwebm[.]org» был зарегистрирован в январе 2021 года. Это означает, что инфраструктура продолжает оставаться активной более 1,5 лет, не привлекая к себе внимания.
Кроме того, домен может автоматически генерировать JavaScript файлы, которые маскируются под безопасные файлы или законные службы, такие как Google Ads (например, adservicegoogle.js, wordpresscore.js и facebook-sdk.js) для скрытия своего вредоносного поведения.
«Эта функциональность также позволяет злоумышленнику внедрять сценарии в несколько мест на скомпрометированном веб-сайте и при этом сохранять видимость того, что инъекции «принадлежат» среде», — отметил Анжос.
Двоичный формат Wasm затрудняет обнаружение и анализ обычными антивирусными программами, поэтому этот метод может позволить проводить более изощренные атаки на основе браузера (например, скимминг ), которые могут оставаться незамеченными в течение длительного периода времени. Более того, отсутствие проверки целостности модулей Wasm делает невозможным определение того, было ли приложение подделано.