Underc0de

Foros Generales => Noticias Informáticas => Mensaje iniciado por: Dragora en Julio 26, 2022, 06:44:14 PM

Título: Utilizan más criptomineros codificados por WebAssembly para evadir la detección
Publicado por: Dragora en Julio 26, 2022, 06:44:14 PM
(https://i.imgur.com/p7j0N8o.png)

Hasta 207 sitios web han sido infectados con código malicioso diseñado para lanzar un minero de criptomonedas aprovechando WebAssembly (Wasm) en el navegador.

La empresa de seguridad web Sucuri, que publicó los detalles de la campaña, dijo que inició una investigación después de que la computadora de uno de sus clientes se ralentizara significativamente cada vez que navegaba a su propio portal de WordPress.

Esto descubrió un compromiso de un archivo de tema para inyectar código JavaScript malicioso desde un servidor remoto, hxxps://wm.bmwebm[.]org/auto.js, que se carga cada vez que se accede a la página del sitio web.

"Una vez decodificados, los contenidos de auto.js revelan inmediatamente la funcionalidad de un criptominero que comienza a minar cuando un visitante llega al sitio comprometido", dijo el investigador de malware de Sucuri, Cesar Anjos .

Además, el código auto.js desofuscado utiliza WebAssembly para ejecutar código binario de bajo nivel directamente en el navegador.

WebAssembly , que es compatible con todos los principales navegadores, es un formato de instrucciones binarias que ofrece mejoras de rendimiento sobre JavaScript, lo que permite que las aplicaciones escritas en lenguajes como C, C++ y Rust se compilen en un lenguaje similar a un ensamblador de bajo nivel que puede ser directamente ejecutar en el navegador.

"Cuando se usa en un navegador web, Wasm se ejecuta en su propio entorno de ejecución en espacio aislado", dijo Anjos. "Como ya está compilado en un formato de ensamblaje, el navegador puede leer y ejecutar sus operaciones a una velocidad que JavaScript no puede igualar".

Se dice que el dominio controlado por el actor, wm.bmwebm[.]org, se registró en enero de 2021, lo que implica que la infraestructura siguió activa durante más de un año y medio sin llamar la atención.

(https://i.imgur.com/OGK4zvw.png)

Además de eso, el dominio también viene con la capacidad de generar automáticamente archivos JavaScript que se hacen pasar por archivos aparentemente inofensivos o servicios legítimos como el de Google Ads (por ejemplo, adservicegoogle.js, wordpresscore.js y facebook-sdk.js) para ocultar su comportamiento malicioso.

"Esta funcionalidad también hace posible que el mal actor inyecte los scripts en múltiples ubicaciones en el sitio web comprometido y aún mantenga la apariencia de que las inyecciones 'pertenecen' al entorno", señaló Anjos.

Esta no es la primera vez que la capacidad de WebAssembly para ejecutar aplicaciones de alto rendimiento en páginas web ha generado posibles señales de alerta de seguridad .

Dejando de lado el hecho de que el formato binario de Wasm hace que la detección y el análisis por parte de los motores antivirus convencionales sean más desafiantes, la técnica podría abrir la puerta a ataques basados ​​en navegadores más sofisticados, como el e-skimming, que puede pasar desapercibido durante largos períodos de tiempo.

Lo que complica aún más las cosas es la falta de controles de integridad para los módulos Wasm, lo que hace imposible determinar si una aplicación ha sido manipulada.

Para ayudar a ilustrar las debilidades de seguridad de WebAssembly, un estudio de 2020 realizado por un grupo de académicos de la Universidad de Stuttgart y la Universidad Bundeswehr de Múnich descubrió problemas de seguridad que podrían usarse para escribir en memoria arbitraria, sobrescribir datos confidenciales y secuestrar el flujo de control.

Una investigación posterior publicada en noviembre de 2021 basada en una traducción de 4469 programas C con vulnerabilidades de desbordamiento de búfer conocidas a Wasm descubrió que "compilar un programa C existente en WebAssembly sin precauciones adicionales puede obstaculizar su seguridad".

Fuente: https://thehackernews.com