Hasta 207 sitios web han sido infectados con código malicioso diseñado para lanzar un minero de criptomonedas aprovechando WebAssembly (Wasm) en el navegador.
La empresa de seguridad web Sucuri, que publicó los detalles de la campaña, dijo que inició una investigación después de que la computadora de uno de sus clientes se ralentizara significativamente cada vez que navegaba a su propio portal de WordPress.
Esto descubrió un compromiso de un archivo de tema para inyectar código JavaScript malicioso desde un servidor remoto: hxxps://wm.bmwebm[.]org/auto.js: se carga cada vez que se accede a la página del sitio web.
“Una vez decodificados, los contenidos de auto.js revelan inmediatamente la funcionalidad de un criptominero que comienza a minar cuando un visitante llega al sitio comprometido”, dijo el investigador de malware de Sucuri, Cesar Anjos. dijo.
Además, el código auto.js desofuscado utiliza WebAssembly para ejecutar código binario de bajo nivel directamente en el navegador.
Asamblea webque es compatible con todos los principales navegadores, es un formato de instrucción binaria que ofrece mejoras de rendimiento sobre JavaScript, lo que permite que las aplicaciones escritas en lenguajes como C, C++ y Rust se compilen en un lenguaje similar a un ensamblador de bajo nivel que se puede ejecutar directamente en el navegador.
“Cuando se usa en un navegador web, Wasm se ejecuta en su propio entorno de ejecución en espacio aislado”, dijo Anjos. “Como ya está compilado en un formato de ensamblaje, el navegador puede leer y ejecutar sus operaciones a una velocidad que JavaScript no puede igualar”.
El dominio controlado por el actor, wm.bmwebm[.]org, se dice que se registró en enero de 2021, lo que implica que la infraestructura continuó activa durante más de 1,5 años sin llamar la atención.
Además de eso, el dominio también viene con la capacidad de generar automáticamente archivos JavaScript que se hacen pasar por archivos aparentemente inofensivos o servicios legítimos como el de Google Ads (por ejemplo, adservicegoogle.js, wordpresscore.js y facebook-sdk.js) para ocultar su comportamiento malicioso.
“Esta funcionalidad también hace posible que el mal actor inyecte los scripts en múltiples ubicaciones en el sitio web comprometido y aún mantenga la apariencia de que las inyecciones ‘pertenecen’ al entorno”, señaló Anjos.
Esta no es la primera vez que aumenta la capacidad de WebAssembly para ejecutar aplicaciones de alto rendimiento en páginas web. potencial seguridad banderas rojas.
Dejando de lado el hecho de que el formato binario de Wasm hace que la detección y el análisis por parte de los motores antivirus convencionales sean más desafiantes, la técnica podría abrir la puerta a ataques basados en navegadores más sofisticados, como el e-skimming, que puede pasar desapercibido durante largos períodos de tiempo.
Lo que complica aún más las cosas es la falta de controles de integridad para los módulos Wasm, lo que hace imposible determinar si una aplicación ha sido manipulada.
Para ayudar a ilustrar las debilidades de seguridad de WebAssembly, un estudio 2020 por un grupo de académicos de la Universidad de Stuttgart y la Universidad Bundeswehr de Múnich descubrieron problemas de seguridad que podrían usarse para escribir en memoria arbitraria, sobrescribir datos confidenciales y secuestrar el flujo de control.
Subsecuente investigar publicado en noviembre de 2021 basado en una traducción de 4469 programas C con vulnerabilidades conocidas de desbordamiento de búfer a Wasm descubrió que “compilar un programa C existente en WebAssembly sin precauciones adicionales puede obstaculizar su seguridad”.
About the Author
