Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

WebAssembly используется для майнинга в браузере

27/07/22

wasm

207 веб-сайтов заражены вредоносным кодом, предназначенным для запуска криптомайнера с использованием WebAssembly (Wasm) в браузере. ИБ-компания Sucuri опубликовала подробности кампании и заявила о начале расследование после того, как компьютер одного из ее клиентов значительно замедлялся каждый раз при переходе на собственный портал WordPress.

Это выявило компрометацию файла темы для внедрения вредоносного JavaScript кода с удаленного сервера «hxxps://wm.bmwebm[.]org/auto.js», который загружался при каждом доступе к странице сайта, пишут в Securitylab.

Исследователь вредоносных программ Sucuri Сесар Анжос сказал, что после декодирования содержимое файла «auto.js» сразу раскрыло функциональность криптомайнера, который начал добычу после посещения пользователем взломанного сайта. Более того, деобфусцированный код «auto.js» использовал WebAssembly для запуска низкоуровневого двоичного кода непосредственно в браузере.

По словам Анжоса, при использовании в браузере Wasm работает в собственной изолированной среде выполнения. Поскольку он уже скомпилирован в формат сборки, браузер может читать и выполнять свои операции со скоростью, с которой сам JavaScript не может справиться.

Утверждается, что контролируемый злоумышленником домен «wm.bmwebm[.]org» был зарегистрирован в январе 2021 года. Это означает, что инфраструктура продолжает оставаться активной более 1,5 лет, не привлекая к себе внимания.

Кроме того, домен может автоматически генерировать JavaScript файлы, которые маскируются под безопасные файлы или законные службы, такие как Google Ads (например, adservicegoogle.js, wordpresscore.js и facebook-sdk.js) для скрытия своего вредоносного поведения.

«Эта функциональность также позволяет злоумышленнику внедрять сценарии в несколько мест на скомпрометированном веб-сайте и при этом сохранять видимость того, что инъекции «принадлежат» среде», — отметил Анжос.

Двоичный формат Wasm затрудняет обнаружение и анализ обычными антивирусными программами, поэтому этот метод может позволить проводить более изощренные атаки на основе браузера (например, скимминг ), которые могут оставаться незамеченными в течение длительного периода времени. Более того, отсутствие проверки целостности модулей Wasm делает невозможным определение того, было ли приложение подделано.

Темы:майнингWordPressУгрозыSucuri
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...