CISTER’daki siber güvenlik uzmanları, hain JavaScript madencileri ile 3.500’den fazla web sitesini enfekte eden ve 2017’nin Coinhive Eşan Gününü anımsatan kripto krikosu tekniklerine şaşırtıcı bir dönüş işaret eden akıllı bir kampanya keşfetti.
2024’ün sonlarında tespit edilen bu yeni dalga, geçmişin kaynak yoğun madencilerinden bir kalkışa işaret ediyor, bu da 2019 yılına kadar Chrome ve Firefox tarafından yaygın tarayıcı bloklarına yol açan fark edilebilir cihaz yavaşlamalarına ve pil tahliyesine neden oluyor.
Bir zamanlar Monero’nun ağ karma oranının% 12’sine kadar komuta eden açık işlemlerin aksine, mevcut yineleme, algılamadan kaçınmak için gelişmiş gizleme ve düşük profilli yürütme kullanır ve şüphesiz kullanıcıların tarayıcılarını kalıcı kripto para madenciliği düğümlerine dönüştürür.
Siber güvenlikte hareketsiz bir tehdidin yeniden canlanması
Kampanyanın keşfi, https: //www.yobox adresinde barındırılan üçüncü taraf bir JavaScript dosyasında rutin bir palet uyarısı ile başladı.[.]Store/Karma/Karma.js? Karma = BS? Nosaj = daha hızlı.mo, kötü niyetli niyetini gizlemek için tasarlanmış şüpheli, randomize sorgu parametreleri olan bir URL.
İlk sanal alan testi, anında ağ isteği veya CPU ani artışları ortaya koymadı, ancak AI ile çalışan anomali tespiti onu zararlı olarak işaretledi ve gizli operasyonlarına daha derin araştırmalar başlattı.
Enjeksiyon mekanizması, ertelenmiş bir şekilde gömülü baz 64 kodlu bir komut dosyası içerir.
Bu etki alanı Trafiği Yobox’a yönlendirir[.]Makine, yükün indirilmesini kolaylaştırın.
Yürütme üzerine, komut dosyası, her şey yaşamı olarak adlandırılan bir işlevi, muhtemelen bir madencilik havuzu tanımlayıcısını veya cüzdan adresini temsil eden uzun bir dize ve ‘web’ ortamı ve 50’lik bir gaz kelebeği değerini, muhtemelen Sekliği korumak için CPU kullanımı kapatarak kodlanmış bir işlevi çağırır.
Araştırmacılar, tarayıcı önlemlerini tetiklemeden hata ayıklamaya izin vermek için ‘güvenli olmayan’ ve ‘güvenli olmayan bir şekilde’ yönergelerle bir içerik güvenliği politikası (CSP) kullanan komut dosyasını kontrollü bir sanal alan ortamında parçaladılar.
Hata ayıklayıcı ifadeleri ekleyerek ve Chrome Devtools’tan yararlanarak, yeniden adlandırılmış değişkenlerin ve kodlanmış dizelerin bir labirentini çözdüler, cihaz yeteneklerini değerlendirmek için WebAssembly desteğini kontrol eden yürütme akışlarını, arka plan web işçilerini ‘Paralel madencilik teçhizatları için’ Paralel Madenli ‘ve yerleşik bir komuta kontaktında yer alan bir dizi olarak adlandırılan bir dizide çalıştırma akışlarını ve WebSock Connects’e yerleştirilmiş bir dizide, yürütme akışlarını ortaya çıkardılar. WSS: // lokilokitwo[.]OF: 10006.
Bu işçiler madencilik hesaplamalarını ana iş parçacığından çıkarır, performans etkilerini en aza indirir ve aşırı CPU kullanımı veya açık ağ etkinliği gibi geleneksel kırmızı bayraklardan kaçınır.
Teknik evrim
Bu gelişmiş kripto jack modeli çok aşamalı bir saldırı zincirini temsil eder: damlalık komut dosyaları güvenliği ihlal edilmiş sitelere enjekte eder, ardından webSsembly uyumluluğu için çevre probları, cihaz türü (mobil veya masaüstü) ve ince ayar işlemlerini tarayıcı özellikleri.
Web çalışanları daha sonra madencilik mantığı yürütür, C2 altyapısından 89.58.14.251 ve 104.21.80.1 gibi önemli IP’ler de dahil olmak üzere C2 altyapısından görevleri almak için WebSoksets veya HTTPS ile iletişim kurarlar ve Röle Sonuçları Şüphe uyandırmadan geri döner.
Kampanyanın altyapı yeniden kullanımı özellikle endişe vericidir ve güvenilirlik gibi alanlar[.]Önceki Magecart kredi kartı sıyırma operasyonlarıyla bağlantılı eğlence, saldırganların kripto krikoları ve veri hırsızlığı vektörleri arasındaki yükleri çeşitlendirdiğini gösteriyor.
Kaynak tüketimini kısarak ve trafiği WebSocket akışlarına yerleştirerek, madenciler süresiz olarak devam ederek, kaba bir ekstraktör yerine ince bir dijital parazit gibi hesaplama gücünü sifonlar.
Çıkarımlar, bireysel enfeksiyonların ötesine uzanır ve kalıcılığın saldırganlığı aştığı müşteri tarafı tehditlerinde daha geniş bir eğilime işaret eder.
Potansiyel olarak yüksek trafikli platformlar da dahil olmak üzere 3.500’den fazla site ile kümülatif karma oranı, geleneksel antivirüs veya tarayıcı korumaları tarafından fark edilmeden kalırken tarihi zirvelere rakip olabilir.
Siber güvenlik uzmanları, daha katı CSP uygulamaları, gerçek zamanlı JavaScript analizi ve AI izlemeli WebSocket trafik incelemesi gibi gelişmiş savunmalara duyulan ihtiyacı vurgulamaktadır.
Saldırganlar bu teknikleri rafine ettikçe, web güvenliğindeki kedi ve fare oyunu yoğunlaşıyor, bu da kripto krikosunun soyu tükenmekten çok, modern tarama ekosistemlerinin gölgesinde gelişmek üzere adapte olduğunu vurguluyor.
Get Free Ultimate SOC Requirements Checklist Before you build, buy, or switch your SOC for 2025 - Download Now