207 web sitesine, tarayıcıda WebAssembly’den (Wasm) yararlanarak bir kripto para madenciliği başlatmak için tasarlanmış kötü amaçlı kod bulaştı.
Kampanyanın ayrıntılarını yayınlayan web güvenlik şirketi Sucuri, müşterilerinden birinin kendi WordPress portalına gittiklerinde bilgisayarlarını her seferinde önemli ölçüde yavaşlatmasından sonra bir soruşturma başlattığını söyledi.
Bu, uzak bir sunucudan kötü amaçlı JavaScript kodu enjekte etmek için bir tema dosyasının güvenliğinin ihlal edildiğini ortaya çıkardı – hxxps://wm.bmwebm[.]org/auto.js — web sitesinin sayfasına her erişildiğinde yüklenir.
Sucuri kötü amaçlı yazılım araştırmacısı Cesar Anjos, “Bir kez şifresi çözüldüğünde, auto.js içeriği, bir ziyaretçi güvenliği ihlal edilen siteye geldiğinde madenciliğe başlayan bir kripto madencisinin işlevselliğini hemen ortaya çıkarır.” Dedi.
Ayrıca, gizlenmiş auto.js kodu, düşük seviyeli ikili kodu doğrudan tarayıcıda çalıştırmak için WebAssembly’ı kullanır.
Tüm büyük tarayıcılar tarafından desteklenen WebAssembly, JavaScript üzerinde performans iyileştirmeleri sunan ve C, C++ ve Rust gibi dillerde yazılmış uygulamaların doğrudan oluşturulabilen düşük seviyeli bir derleme benzeri dilde derlenmesini sağlayan ikili bir talimat formatıdır. tarayıcıda çalıştırın.
Anjos, “Bir web tarayıcısında kullanıldığında, Wasm kendi korumalı alan yürütme ortamında çalışır.” Dedi. “Zaten bir derleme biçiminde derlendiğinden, tarayıcı işlemlerini JavaScript’in erişemeyeceği bir hızda okuyabilir ve yürütebilir.”
Aktör tarafından kontrol edilen alan, wm.bmwebm[.]org’un Ocak 2021’de tescil edildiği söyleniyor, bu da altyapının herhangi bir dikkat çekmeden 1,5 yıldan fazla bir süre aktif kalmaya devam ettiğini ima ediyor.
Bunun da ötesinde, etki alanı, görünüşte zararsız dosyalar veya Google Ads’ünki gibi meşru hizmetler (ör. adservicegoogle.js, wordpresscore.js ve facebook-sdk.js) gibi görünen JavaScript dosyalarını otomatik olarak oluşturma yeteneği ile birlikte gelir. kötü niyetli davranışını gizler.
Anjos, “Bu işlevsellik, kötü aktörün, güvenliği ihlal edilmiş web sitesinde birden çok yere senaryoları enjekte etmesini ve enjeksiyonların çevreye ‘ait’ olduğu görünümünü sürdürmesini de mümkün kılıyor” dedi.
Bu, WebAssembly’nin web sayfalarında yüksek performanslı uygulamalar çalıştırma yeteneğinin olası güvenlik kırmızı bayraklarını ilk kez ortaya çıkarışı değil.
Wasm’ın ikili formatının geleneksel antivirüs motorları tarafından tespit ve analiz yapmayı daha zor hale getirdiği gerçeğini bir kenara bırakırsak, teknik, radarın altında uzun süre uçabilen e-gözden geçirme gibi daha karmaşık tarayıcı tabanlı saldırılara kapı açabilir.
Wasm modülleri için bütünlük kontrollerinin olmaması, bir uygulamanın kurcalanıp kurcalanmadığını belirlemeyi fiilen imkansız hale getiriyor.
WebAssembly’nin güvenlik zayıflıklarını göstermeye yardımcı olmak için, Stuttgart Üniversitesi ve Münih Bundeswehr Üniversitesi’nden bir grup akademisyen tarafından 2020 yılında yapılan bir araştırma, rastgele belleğe yazmak, hassas verilerin üzerine yazmak ve kontrol akışını kaçırmak için kullanılabilecek güvenlik sorunlarını ortaya çıkardı.
Bilinen arabellek taşması güvenlik açıklarına sahip 4.469 C programının Wasm’a çevirisine dayanan Kasım 2021’de yayınlanan müteakip araştırma, “mevcut bir C programının ek önlemler olmadan WebAssembly’de derlenmesinin güvenliğini engelleyebileceğini” buldu.