Stealth-Kryptomining: Über 3.500 Websites betroffen

LONDON (IT BOLTWISE) – Eine neue Angriffskampagne hat weltweit über 3.500 Websites mit JavaScript-Kryptowährungs-Minern kompromittiert. Diese Angriffe markieren die Rückkehr der browserbasierten Kryptojacking-Angriffe, die einst durch Dienste wie CoinHive populär wurden.

In einer jüngsten Entwicklung haben Sicherheitsforscher eine groß angelegte Kampagne entdeckt, die über 3.500 Websites weltweit mit JavaScript-Kryptowährungs-Minern infiziert hat. Diese Angriffe erinnern an die Zeiten, als CoinHive und ähnliche Dienste browserbasiertes Kryptojacking populär machten. Trotz der Schließung solcher Dienste und der Maßnahmen von Browserherstellern, minerbezogene Apps und Add-ons zu verbieten, zeigt diese neue Welle von Angriffen, dass die Bedrohung weiterhin besteht.

Die Forscher von c/side haben Hinweise auf einen versteckten Miner gefunden, der in obfuskiertem JavaScript verpackt ist. Dieser Miner bewertet die Rechenleistung eines Geräts und startet im Hintergrund Web Worker, um Mining-Aufgaben parallel auszuführen, ohne Verdacht zu erregen. Besonders bemerkenswert ist die Nutzung von WebSockets, um Mining-Aufgaben von einem externen Server abzurufen. Dies ermöglicht es, die Mining-Intensität dynamisch an die Fähigkeiten des Geräts anzupassen und den Ressourcenverbrauch entsprechend zu drosseln, um unentdeckt zu bleiben.

Diese Taktik führt dazu, dass Nutzer unwissentlich Kryptowährungen minen, während sie die kompromittierten Websites besuchen. Ihre Computer werden so zu verdeckten Krypto-Generierungsmaschinen, ohne dass sie es wissen oder zustimmen. Wie genau die Websites kompromittiert werden, um das In-Browser-Mining zu ermöglichen, ist derzeit noch unklar.

Eine eingehendere Analyse hat ergeben, dass die Domain, die den JavaScript-Miner hostet, in der Vergangenheit auch mit Magecart-Kreditkartenskimmern in Verbindung gebracht wurde. Dies deutet darauf hin, dass die Angreifer versuchen, ihre Payloads und Einnahmequellen zu diversifizieren. Die Verwendung derselben Domains zur Bereitstellung von Minern und Kredit-/Debitkarten-Exfiltrationsskripten zeigt die Fähigkeit der Bedrohungsakteure, JavaScript zu nutzen und opportunistische Angriffe auf ahnungslose Website-Besucher zu starten.

Die Angreifer priorisieren nun Tarnung über den massiven Ressourcendiebstahl, indem sie Verschleierung, WebSockets und Infrastrukturwiederverwendung nutzen, um verborgen zu bleiben. Das Ziel ist nicht, Geräte sofort zu entleeren, sondern Ressourcen über einen längeren Zeitraum hinweg kontinuierlich abzuzapfen, wie ein digitaler Vampir.

Diese Erkenntnisse fallen mit einer Magecart-Skimming-Kampagne zusammen, die sich gegen ostasiatische E-Commerce-Websites richtet, die das OpenCart-Content-Management-System (CMS) verwenden. Dabei wird ein gefälschtes Zahlungsformular während des Checkouts injiziert, um Finanzinformationen, einschließlich Bankdaten, von Opfern zu sammeln. Die erfassten Informationen werden dann an den Server des Angreifers exfiltriert.

In den letzten Wochen wurden clientseitige und websiteorientierte Angriffe in verschiedenen Formen entdeckt. Dazu gehören JavaScript-Einbettungen, die den Callback-Parameter eines legitimen Google OAuth-Endpunkts missbrauchen, um zu einer obfuskierten JavaScript-Nutzlast umzuleiten, die eine bösartige WebSocket-Verbindung zu einer angreifergesteuerten Domain herstellt.

Ein weiteres Beispiel ist die direkte Injektion eines Google Tag Manager (GTM)-Skripts in die WordPress-Datenbank, um Remote-JavaScript zu laden, das Besucher auf über 200 Websites zu Spam-Domains umleitet. Auch die Kompromittierung der wp-settings.php-Datei einer WordPress-Site, um ein bösartiges PHP-Skript direkt aus einem ZIP-Archiv einzuschließen, das eine Verbindung zu einem Command-and-Control (C2)-Server herstellt, ist ein gängiges Vorgehen.

Die Verteilung von mit Hintertüren versehenen Versionen des WordPress-Plugins Gravity Forms über die offizielle Download-Seite in einem Supply-Chain-Angriff ist ebenfalls ein besorgniserregender Trend. Diese Versionen kontaktieren einen externen Server, um zusätzliche Nutzlasten abzurufen und ein Administratorkonto hinzuzufügen, das dem Angreifer die vollständige Kontrolle über die Website gibt.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!