Krypto-Mining-Skripte auf über 3.500 Websites
Hacker haben mehr als 3.500 Websites mit heimlichen Krypto-Mining-Skripten infiziert, die die Browser der Besucher unbemerkt übernehmen, um Monero zu generieren – eine datenschutzorientierte Kryptowährung, die darauf abzielt, Transaktionen schwerer nachverfolgbar zu machen. Die Malware stiehlt keine Passwörter und sperrt keine Dateien. Stattdessen verwandelt sie die Browser der Besucher stillschweigend in Monero-Mining-Maschinen und zapft kleine Mengen an Rechenleistung ohne Zustimmung der Nutzer ab.
Aktive Kampagne und Entdeckung
Die Kampagne, die zum Zeitpunkt dieses Schreibens noch aktiv ist, wurde erstmals von Forschern der Cybersicherheitsfirma c/side aufgedeckt.
„Durch das Drosseln der CPU-Nutzung und das Verstecken des Datenverkehrs in WebSocket-Streams vermeidet sie die typischen Anzeichen von traditionellem Cryptojacking,“
gab c/side am Freitag bekannt.
Was ist Cryptojacking?
Cryptojacking, manchmal als ein Wort geschrieben, bezeichnet die unbefugte Nutzung eines Geräts, um Kryptowährung zu minen, typischerweise ohne das Wissen des Eigentümers. Diese Taktik erlangte Ende 2017 mit dem Aufstieg von Coinhive, einem mittlerweile eingestellten Dienst, der kurzzeitig die Cryptojacking-Szene dominierte, erstmals breite Aufmerksamkeit, bevor er 2019 eingestellt wurde. Im selben Jahr waren die Berichte über seine Verbreitung widersprüchlich: Einige Quellen berichteten, dass es nicht zu „früheren Niveaus“ zurückgekehrt sei, während andere Bedrohungsforschungsinstitute einen Anstieg von 29 % bestätigten.
Ein Comeback der Taktik
Mehr als ein halbes Jahrzehnt später scheint die Taktik ein leises Comeback zu feiern: Sie hat sich von lauten, CPU-belastenden Skripten zu unauffälligen Minern entwickelt, die für Stealth und Beständigkeit ausgelegt sind. Anstatt Geräte zu überlasten, verbreiten sich die heutigen Kampagnen leise über Tausende von Websites und folgen einem neuen Spielbuch, das, wie c/side es ausdrückt, darauf abzielt,
„niedrig zu bleiben und langsam zu minen.“
Strategiewechsel und Infrastruktur
Dieser Strategiewechsel ist kein Zufall, so ein Informationssicherheitsforscher, der mit der Kampagne vertraut ist und unter der Bedingung der Anonymität mit Decrypt sprach. Die Gruppe scheint alte Infrastrukturen wiederzuverwenden, um langfristigen Zugang und passives Einkommen zu priorisieren, wurde Decrypt mitgeteilt.
„Diese Gruppen kontrollieren höchstwahrscheinlich bereits Tausende von gehackten WordPress-Websites und E-Commerce-Stores aus früheren Magecart-Kampagnen,“
sagte der Forscher zu Decrypt. Magecart-Kampagnen sind Angriffe, bei denen Hacker bösartigen Code in Online-Checkout-Seiten injizieren, um Zahlungsinformationen zu stehlen.
Technologische Aspekte der neuen Miner
„Das Einfügen des Miners war trivial; sie haben einfach ein weiteres Skript hinzugefügt, um das obfuskierte JavaScript zu laden und den bestehenden Zugang wiederzuverwenden,“
erklärte der Forscher. Was jedoch auffällt, ist, wie leise die Kampagne operiert, was es schwierig macht, sie mit älteren Methoden zu erkennen.
„Eine Möglichkeit, wie frühere Cryptojacking-Skripte erkannt wurden, war ihre hohe CPU-Nutzung,“
wurde Decrypt mitgeteilt.
„Diese neue Welle vermeidet das, indem sie gedrosselte WebAssembly-Miner verwendet, die unter dem Radar bleiben, die CPU-Nutzung begrenzen und über WebSockets kommunizieren.“
WebAssembly ermöglicht es, dass Code schneller im Browser ausgeführt wird, während WebSockets eine ständige Verbindung zu einem Server aufrechterhalten. Zusammen ermöglichen diese Technologien einem Krypto-Miner, zu arbeiten, ohne Aufmerksamkeit zu erregen. Das Risiko besteht nicht darin, Krypto-Nutzer direkt anzugreifen, da das Skript keine Wallets entleert, obwohl sie technisch gesehen einen Wallet-Entleerer in die Nutzlast einfügen könnten, sagte der anonyme Forscher zu Decrypt.
„Das eigentliche Ziel sind Server- und Webanwendungsbesitzer,“
fügten sie hinzu.
