Group IB

WebAssembly помогает хакерам прятать криптоджекеры на сайтах

26.07.2022
WebAssembly помогает хакерам прятать криптоджекеры на сайтах

Хакеры используют взломанные сайты для майнинга криптовалюты при помощи технологии WebAssembly. К такому выводу пришли эксперты компании Sucuri, обнаружившие необычный JavaScript-майнер. На страницы веб-ресурса майнер попадает при посещении хакерами взломанного сайта.

Использование WebAssembly делает обнаруженную технологию особенно опасной. 95% браузеров поддерживают работу с ней. В числе таковых Google Chrome, Microsoft Edge, Safari, Firefox и Opera. Далее из JavaScript запускается код Wasm, который работает параллельно с первым и обменивается с ним кодом.

Исследователи рассказали, что обнаружили проблему случайно. Обратившийся к ним клиент рассказал, что скорость работы его компьютера заметно снижается при входе на личный сайт WordPress. Раскручивая цепочку, аналитики выяснили, что при каждом входе на сайт загружается скрипт auto.js из домена wm[.]bmwebm[.]org. Декодировав последний, исследователи обнаружили майнер криптовалюты, запуск которого происходит автоматически.

На другом сайте скрипт назывался adservicegoogle.js, однако выполнял ту же самую функцию. При этом он пытался выдать себя за скрипт Google Ads.