Cryptojacking at ang Pagbabalik ng mga Hacker
Ang mga hacker ay nakapag-infect ng mahigit 3,500 na mga website gamit ang mga tahimik na cryptomining script na kumukuha ng processing power ng mga browser ng mga bisita upang makabuo ng Monero, isang cryptocurrency na nakatuon sa privacy na dinisenyo upang gawing mas mahirap ang pagsubaybay sa mga transaksyon.
Paano Ito Gumagana
Ang malware na ito ay hindi nagnanakaw ng mga password o nagla-lock ng mga file. Sa halip, tahimik nitong ginagawang mga mining engine ang mga browser ng mga bisita, kumukuha ng maliliit na halaga ng processing power nang walang pahintulot ng gumagamit. Ang kampanya, na aktibo pa rin sa oras ng pagsusulat na ito, ay unang natuklasan ng mga mananaliksik mula sa cybersecurity firm na c/side.
“Sa pamamagitan ng pag-throttle ng CPU usage at pagtatago ng traffic sa WebSocket streams, naiiwasan nito ang mga palatandaan ng tradisyunal na cryptojacking,” ibinunyag ng c/side noong Biyernes.
Ang Ebolusyon ng Cryptojacking
Ang cryptojacking, na minsang isinusulat bilang isang salita, ay ang hindi awtorisadong paggamit ng device ng isang tao upang magmina ng cryptocurrency, karaniwang nang walang kaalaman ng may-ari. Ang taktika na ito ay unang nakakuha ng pangunahing atensyon noong huli ng 2017 sa pag-akyat ng Coinhive, isang serbisyo na hindi na gumagana ngayon na pansamantalang namayani sa cryptojacking scene bago ito isara noong 2019.
Sa parehong taon, ang mga ulat tungkol sa paglaganap nito ay naging salungat, kung saan ang ilan ay nagsabi sa Decrypt na hindi ito bumalik sa “mga nakaraang antas” kahit na ang ilang threat research labs ay nakumpirma ang 29% na pagtaas sa panahong iyon. Mahigit sa kalahating dekada mamaya, ang taktika ay tila nagbabalik: muling nag-configure mula sa maingay, CPU-choking scripts patungo sa mga low-profile miners na itinayo para sa stealth at persistence.
Bagong Estratehiya ng mga Hacker
Sa halip na sunugin ang mga device, ang mga kampanya ngayon ay tahimik na kumakalat sa libu-libong mga site, sumusunod sa isang bagong playbook na, ayon sa c/side, ay naglalayong “manatiling mababa, magmina ng mabagal.” Ang pagbabagong ito sa estratehiya ay hindi aksidente, ayon sa isang information security researcher na pamilyar sa kampanya na nakipag-usap sa Decrypt sa kondisyon ng pagiging hindi nagpapakilala.
“Ang mga grupong ito ay malamang na kontrolado na ang libu-libang hacked WordPress sites at e-commerce stores mula sa mga nakaraang Magecart campaigns,” sinabi ng mananaliksik.
Ang mga Magecart campaigns ay mga pag-atake kung saan ang mga hacker ay nag-iinject ng nakakapinsalang code sa mga online checkout pages upang magnakaw ng impormasyon sa pagbabayad. “Ang paglalagay ng miner ay napakadali, nagdagdag lamang sila ng isa pang script upang i-load ang obfuscated JS, muling ginagamit ang umiiral na access,” sinabi ng mananaliksik.
Paano Nakatakas ang mga Hacker sa Pagtuklas
Ngunit ang kapansin-pansin, ayon sa mananaliksik, ay kung gaano katahimik ang operasyon ng kampanya, na nagpapahirap sa pagtuklas gamit ang mga lumang pamamaraan. “Isang paraan kung paano natukoy ang mga nakaraang cryptojacking scripts ay sa kanilang mataas na CPU usage,” sinabi sa Decrypt. “Ang bagong alon na ito ay umiiwas sa pamamagitan ng paggamit ng throttled WebAssembly miners na nananatiling nasa ilalim ng radar, naglilimita sa CPU usage at nakikipag-ugnayan sa pamamagitan ng WebSockets.”
Ang WebAssembly ay nagpapahintulot sa code na tumakbo nang mas mabilis sa loob ng isang browser, habang ang WebSockets ay nagpapanatili ng isang tuloy-tuloy na koneksyon sa isang server. Pinagsama, ang mga ito ay nagpapahintulot sa isang crypto miner na gumana nang hindi nakakaakit ng atensyon.
Mga Panganib at Target
Ang panganib ay hindi “direktang nagta-target sa mga crypto users,” dahil ang script ay hindi nauubos ang mga wallet, kahit na teknikal, maaari silang magdagdag ng wallet drainer sa payload,” sinabi ng hindi nagpapakilalang mananaliksik sa Decrypt. “Ang tunay na target ay ang mga may-ari ng server at web app,” idinagdag nila.
