Uma nova campanha de ataque comprometeu mais de 3.500 websites ao redor do mundo com mineradores de criptomoedas em JavaScript, marcando o retorno dos ataques de cryptojacking baseados em navegador, outrora popularizados por entidades como a CoinHive.
Embora o serviço tenha se encerrado depois que os desenvolvedores de navegadores tomaram medidas para banir apps e add-ons relacionados a mineração, pesquisadores da c/side disseram que encontraram evidências de um minerador discreto embutido em JavaScript ofuscado que avalia o poder computacional de um dispositivo e gera Web Workers em segundo plano para executar tarefas de mineração paralelamente sem levantar suspeitas.
Mais importante, a atividade foi encontrada utilizando WebSockets para buscar tarefas de mineração de um servidor externo, de modo a ajustar dinamicamente a intensidade da mineração com base nas capacidades do dispositivo e, assim, regular o consumo de recursos para manter a discrição.
"Isso foi um minerador stealth, projetado para evitar detecção ao permanecer abaixo do radar tanto dos usuários quanto das ferramentas de segurança," disse o pesquisador de segurança Himanshu Anand.
O resultado dessa abordagem é que os usuários, sem saber, minerariam criptomoedas enquanto navegavam pelo website comprometido, transformando seus computadores em máquinas de geração de cripto encobertas sem seu conhecimento ou consentimento.
Atualmente, não se sabe exatamente como os websites são violados para facilitar a mineração nos navegadores.
Uma análise mais aprofundada determinou que mais de 3.500 websites foram apanhados no extenso esforço ilegal de mineração de criptomoedas, com o domínio hospedando o minerador em JavaScript também vinculado aos skimmers de cartão de crédito Magecart no passado, indicando tentativas por parte dos atacantes de diversificar seus payloads e fluxos de receita.
O uso dos mesmos domínios para entregar tanto o minerador quanto scripts de exfiltração de cartões de crédito/débito indica a capacidade dos agentes de ameaça de armar o JavaScript e realizar ataques oportunistas visando visitantes de sites desavisados.
"Os atacantes agora priorizam a discrição ao invés do roubo bruto de recursos, usando ofuscação, WebSockets e reutilização de infraestrutura para permanecer ocultos," disse c/side.
O objetivo não é drenar os dispositivos instantaneamente, é sifonar recursos persistentemente ao longo do tempo, como um vampiro digital.
Os achados coincidem com uma campanha de skimming Magecart visando websites de e-commerce do Leste Asiático que usam o sistema de gerenciamento de conteúdo (CMS) OpenCart para injetar um formulário de pagamento falso durante o checkout e coletar informações financeiras, incluindo detalhes bancários, das vítimas.
As informações capturadas são então exfiltradas para o servidor do atacante.
Nas últimas semanas, ataques voltados para o lado do cliente e para websites foram encontrados tomando diferentes formas:
- Utilizando embeds de JavaScript que abusam do parâmetro de callback associado a um endpoint legítimo do Google OAuth ("accounts.google[.]com/o/oauth2/revoke") para redirecionar a um payload de JavaScript ofuscado que cria uma conexão WebSocket maliciosa para um domínio controlado pelo atacante.
- Usando diretamente o script do Google Tag Manager (GTM) injetado no banco de dados WordPress (i.e., nas tabelas wp_options e wp_posts) para carregar JavaScript remoto que redireciona visitantes para mais de 200 sites para domínios de spam;
- Comprometendo o arquivo wp-settings.php de um site WordPress para incluir diretamente um script PHP malicioso de um arquivo ZIP que se conecta a um servidor de comando e controle (C2) e, em última instância, utiliza o ranking do motor de busca do site para injetar conteúdo spam e promover seus sites duvidosos nos resultados de busca;
- Injetando código malicioso no script PHP do rodapé do tema de um site WordPress para redirecionamentos de navegador;
- Usando um falso plugin WordPress nomeado após o domínio infectado para evitar detecção e entrar em ação apenas quando rastreadores de motores de busca são detectados, a fim de servir conteúdo de spam projetado para manipular resultados de motores de busca;
- Distribuindo versões comprometidas do plugin WordPress Gravity Forms (afetando apenas as versões 2.9.11.1 e 2.9.12) através da página oficial de download em um ataque à cadeia de suprimentos que contata um servidor externo para buscar payloads adicionais e adiciona uma conta de administrador que dá ao atacante controle total do website.
"Se instalado, as modificações do código malicioso bloquearão tentativas de atualizar o pacote e tentarão alcançar um servidor externo para baixar payload adicional," disse RocketGenius, o time por trás do Gravity Forms.
Se tiver sucesso em executar este payload, então tentará adicionar uma conta administrativa.
Isso abre uma porta dos fundos para uma série de outras possíveis ações maliciosas, como expansão de acesso remoto, injeções arbitrárias de código não autorizadas adicionais, manipulação de contas admin existentes e acesso a dados armazenados do WordPress.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...