207 web sitesine, tarayıcıda WebAssembly’den (Wasm) yararlanarak bir kripto para madenciliği başlatmak için tasarlanmış kötü amaçlı kod bulaştı.
Kampanyanın ayrıntılarını yayınlayan web güvenlik şirketi Sucuri, müşterilerinden birinin kendi WordPress portalına gittiklerinde bilgisayarlarını her seferinde önemli ölçüde yavaşlatmasından sonra bir soruşturma başlattığını söyledi.
Bu, uzak bir sunucudan kötü amaçlı JavaScript kodu enjekte etmek için bir tema dosyasının güvenliğinin ihlal edildiğini ortaya çıkardı – hxxps://wm.bmwebm[.]org/auto.js — web sitesinin sayfasına her erişildiğinde yüklenir.
Sucuri kötü amaçlı yazılım araştırmacısı Cesar Anjos, “Bir kez şifresi çözüldüğünde, auto.js içeriği, bir ziyaretçi güvenliği ihlal edilmiş siteye geldiğinde madenciliğe başlayan bir kripto madencisinin işlevselliğini hemen ortaya çıkarır.” söz konusu.
Ayrıca, gizlenmiş auto.js kodu, düşük seviyeli ikili kodu doğrudan tarayıcıda çalıştırmak için WebAssembly’ı kullanır.
WebAssemblytüm büyük tarayıcılar tarafından desteklenen bir ikili talimat formatı JavaScript üzerinde performans iyileştirmeleri sunan, C, C++ ve Rust gibi dillerde yazılmış uygulamaların doğrudan tarayıcıda çalıştırılabilen düşük seviyeli, derleme benzeri bir dilde derlenmesine olanak tanır.
Anjos, “Bir web tarayıcısında kullanıldığında, Wasm kendi korumalı alan yürütme ortamında çalışır.” Dedi. “Zaten bir derleme biçiminde derlendiğinden, tarayıcı işlemlerini JavaScript’in erişemeyeceği bir hızda okuyabilir ve yürütebilir.”
Aktör tarafından kontrol edilen alan, wm.bmwebm[.]org’un Ocak 2021’de tescil edildiği söyleniyor, bu da altyapının herhangi bir dikkat çekmeden 1,5 yıldan fazla bir süre aktif kalmaya devam ettiğini ima ediyor.
Bunun da ötesinde, etki alanı, görünüşte zararsız dosyalar veya Google Ads’ünki gibi meşru hizmetler (ör. adservicegoogle.js, wordpresscore.js ve facebook-sdk.js) gibi görünen JavaScript dosyalarını otomatik olarak oluşturma yeteneği ile birlikte gelir. kötü niyetli davranışını gizler.
Anjos, “Bu işlevsellik, kötü aktörün, güvenliği ihlal edilmiş web sitesinde birden çok yere senaryoları enjekte etmesini ve enjeksiyonların çevreye ‘ait’ olduğu görünümünü sürdürmesini de mümkün kılıyor” dedi.
Bu, WebAssembly’nin web sayfalarında yüksek performanslı uygulamalar çalıştırma yeteneğinin ilk kez artması değil. potansiyel güvenlik kırmızı bayraklar.
Wasm’ın ikili formatının geleneksel antivirüs motorları tarafından tespit ve analiz yapmayı daha zor hale getirdiği gerçeğini bir kenara bırakırsak, teknik, radarın altında uzun süre uçabilen e-gözden geçirme gibi daha karmaşık tarayıcı tabanlı saldırılara kapı açabilir.
Wasm modülleri için bütünlük kontrollerinin olmaması, bir uygulamanın kurcalanıp kurcalanmadığını belirlemeyi fiilen imkansız hale getiriyor.
WebAssembly’nin güvenlik zayıflıklarını göstermeye yardımcı olmak için, bir 2020 çalışması Stuttgart Üniversitesi ve Münih Bundeswehr Üniversitesi’nden bir grup akademisyen, keyfi belleğe yazmak, hassas verilerin üzerine yazmak ve kontrol akışını kaçırmak için kullanılabilecek güvenlik sorunlarını ortaya çıkardı.
Sonraki Araştırma Bilinen arabellek taşması güvenlik açıklarına sahip 4.469 C programının Wasm’a çevirisine dayalı olarak Kasım 2021’de yayınlanan rapor, “mevcut bir C programının ek önlemler olmadan WebAssembly’de derlenmesinin güvenliğini engelleyebileceğini” buldu.
