Yeni bir saldırı kampanyası, JavaScript kripto para madencileriyle dünya çapında 3.500’den fazla web sitesini tehlikeye attı ve Coinhive tarafından popüler hale getirildikten sonra tarayıcı tabanlı kriptaj saldırılarının geri dönüşünü işaretledi.
Her ne kadar tarayıcı üreticileri madenciyle ilgili uygulamaları ve eklentileri yasaklamak için adımlar attıktan sonra hizmet vermiş olsa da, C/taraftaki araştırmacılar, bir cihazın hesaplama gücünü değerlendiren gizemli bir madencinin kanıtlarını bulduklarını ve arka plan web işçilerini herhangi bir alarm vermeden paralel olarak yürütmek için kanıtı bulduklarını söylediler.
Daha da önemlisi, etkinliğin, madencilik yoğunluğunu cihaz özelliklerine göre dinamik olarak ayarlamak ve buna bağlı olarak gizliliği korumak için kısma kaynak tüketimini dinamik olarak ayarlamak için madencilik görevlerini harici bir sunucudan almak için WebSoks’lardan yararlandığı bulunmuştur.
Güvenlik araştırmacısı Himanshu Anand, “Bu, hem kullanıcıların hem de güvenlik araçlarının radarının altında kalarak tespitten kaçınmak için tasarlanmış gizli bir madenciydi.” Dedi.
Bu yaklaşımın net sonucu, kullanıcıların bilmeden kripto para birimini benimseyecekleri, tehlikeye atılan web sitesine göz atarak bilgisayarlarını gizli kripto oluşturma makinelerine bilgi veya rızası olmadan dönüştürecekleridir. Kart içi madenciliği kolaylaştırmak için web sitelerinin tam olarak nasıl ihlal edildiğini tam olarak bilinmemektedir.
Daha fazla diseksiyon, genişleyen yasadışı kripto madenciliği çabasında 3.500’den fazla web sitesinin birleştirildiğini, JavaScript madencisini barındıran alan adı da geçmişte Magecart kredi kartı sıyırıcısına bağlı olarak, saldırganların yüklerini ve gelir akışlarını çeşitlendirmek için girişimleri gösterdiğini belirledi.
Hem madenci hem de kredi/banka kartı eksfiltrasyon komut dosyaları sunmak için aynı alanların kullanılması, tehdit aktörlerinin şüpheli olmayan site ziyaretçilerine yönelik JavaScript’i ve sahne fırsatçı saldırıları silahlandırma yeteneğini gösterir.
C/Side, “Saldırganlar artık gizemli kalmak için gizlilik, websocks ve altyapı yeniden kullanımı kullanarak, kaba kuvvet kaynak hırsızlığı konusunda gizliliğe öncelik veriyorlar.” Dedi. “Amaç, cihazları anında boşaltmak değil, kaynakları dijital bir vampir gibi zaman içinde sürekli olarak sifonlamaktır.”
Bulgular, OpenCart İçerik Yönetim Sistemi’ni (CMS) kullanarak Doğu Asya e-ticaret web sitelerini hedefleyen bir Magecart Skiming kampanyasıyla çakışıyor ve ödeme sırasında sahte bir ödeme formu enjekte etmek ve kurbanlardan banka detayları da dahil olmak üzere finansal bilgiler toplamak için. Yakalanan bilgiler daha sonra saldırganın sunucusuna eklenir.
Son haftalarda, müşteri tarafı ve web sitesi odaklı saldırıların farklı biçimler aldığı bulunmuştur-
- JavaScript’i kullanmak, meşru bir Google OAuth uç noktasıyla ilişkili geri arama parametresini kötüye kullanan yerleşimler (“Hesaplar.Google[.]com/o/oauth2/revoke “), saldırgan kontrollü bir alan adına kötü niyetli bir websocket bağlantısı oluşturan gizlenmiş bir JavaScript yüküne yönlendirmek için
- Ziyaretçileri 200’den fazla siteye spam alanlarına yönlendiren uzak JavaScript’i yüklemek için doğrudan WordPress veritabanına (yani WP_OPtions ve WP_Posts tablolarına) enjekte edilen Google Tag Manager (GTM) komut dosyasını kullanma
- Bir WordPress Sitesinin WP-Settings.php dosyasını, doğrudan bir komut ve kontrol (C2) sunucusuna bağlanan ve nihayetinde arama motoru sıralamalarını enjekte etmek ve araştırma sonuçlarında kabataslak sitelerini artırmak için sitenin arama motoru sıralamalarını kullanan bir zip arşivinden kötü niyetli bir PHP komut dosyası içerecek şekilde uzlaştırmak
- Sunucu Tarayıcı Yönlendirmelerine Kötü Amaçlı Kodu Bir WordPress Site Teması’nın Altbilgisi PHP komut dosyasına enjekte etme
- Enfekte Etki Alanı’ndan adlandırılan sahte bir WordPress eklentisi kullanılarak Algılamadan kaçınmak ve sadece arama motoru tarayıcıları tespit edildiğinde, arama motoru sonuçlarını manipüle etmek için tasarlanmış spam içeriğine hizmet etmek için harekete geçme
- WordPress eklentisi yerçekimi formlarının backdoured sürümlerini (yalnızca 2.9.11.1 ve 2.9.12 sürümlerini etkiler) dağıtmak, harici bir sunucuya ek yükler almak için harici bir sunucula iletişim kuran ve saldırgana web sitesinin tam kontrolünü sağlayan bir yönetici hesabı ekleyen bir yönetici hesabı ekleyen bir tedarik zinciri saldırısı sayfası aracılığıyla dağıtma
Gravity Forms’ın arkasındaki ekip RocketGenius, “Kurulursa, kötü amaçlı kod değişiklikleri, paketi güncelleme ve ek yük indirmek için harici bir sunucuya ulaşmaya çalışmaya çalışmayı engelleyecektir.” Dedi.
“Bu yükü yürütmeyi başarırsa, bir idari hesap eklemeye çalışacaktır. Bu, uzaktan erişimi genişletmek, ek yetkisiz keyfi kod enjeksiyonları, mevcut Yönetici hesaplarının manipülasyonu ve depolanan WordPress verilerine erişim gibi bir dizi olası kötü niyetli eyleme arka kapı açar.”