黑客越來越多地使用WebAssembly編碼的加密礦工來逃避檢測
多達207個網站感染了惡意代碼,這些惡意代碼旨在通過在瀏覽器上利用WebAssembly(Wasm)啟動加密貨幣礦工。
這發現了一個主題文件的漏洞,用于從遠程服務器注入惡意JavaScript代碼hxxps://wm.bmwebm[.]組織/自動。每當訪問網站頁面時都會加載它。
Sucuri惡意軟件研究人員Cesar Anjos說:“一旦解碼,auto.js的內容立即顯示cryptominer的功能,當訪問者登陸受損網站時,cryptominer就會開始挖掘”。
更重要的是,除臭的汽車。js代碼利用WebAssembly直接在瀏覽器上運行低級二進制代碼。
所有主要瀏覽器都支持WebAssembly,它是一種二進制指令格式,與JavaScript相比性能有所提高,允許將用C、C++和Rust等語言編寫的應用程序編譯成可直接在瀏覽器上運行的低級匯編語言。
“當用于web瀏覽器時,Wasm在自己的沙盒執行環境中運行,”Anjos說。“由于它已經編譯成匯編格式,瀏覽器可以以JavaScript自身無法比擬的速度讀取和執行其操作”。
參與者控制的域名wm.bmwebm[.]org據說已于2021注冊,這意味著基礎設施在1.5年多的時間里繼續保持活躍,沒有引起任何關注。
除此之外,該域還能夠自動生成JavaScript文件,這些文件偽裝成看似無害的文件或合法服務,如谷歌廣告(如adservicegoogle.js、wordpresscore.js和facebook sdk.js),以隱藏其惡意行為。
這并不是WebAssembly在網頁上運行高性能應用程序的能力第一次引起潛在的安全隱患。
撇開Wasm的二進制格式使傳統防病毒引擎的檢測和分析更具挑戰性這一事實不談,該技術可能為更復雜的基于瀏覽器的攻擊打開大門,例如電子瀏覽,這種攻擊可以在雷達下長時間飛行。
更為復雜的是,Wasm模塊缺乏完整性檢查,實際上無法確定應用程序是否被篡改。
為了幫助說明WebAssembly的安全弱點,斯圖加特大學和慕尼黑聯邦國防軍大學的一組學者在2020年進行了一項研究,發現了可用于寫入任意內存、覆蓋敏感數據和劫持控制流的安全問題。
