Webminer-Skript für Kryptowährung in AOL Werbeplattform eingefügt

Originalbeitrag von Chaoying Liu und Joseph C. Chen

Am 25. März entdeckten die Sicherheitsforscher von Trend Micro, dass die Zahl der vom Trend Micro Smart Protection Network gefundenen Kryptowährungs-Webminer plötzlich anstieg. Das Tracking des Miner-Verkehrs ergab, dass eine ganze Menge davon mit MSN[.]com in Japan in Verbindung stand. Die weitere Untersuchung zeigte, dass böswillige Akteure das Skript auf einer AOL-Werbeplattform modifiziert hatten, sodass auf der Site ein Webminer-Programm gestartet wurde. AOL ist davon benachrichtigt und hat den Miner am 27. März entfernt.

Die kompromittierten Anzeigen auf der AOL-Plattform erzeugten eine Vielzahl von Webminern (COINMINER_COINHIVE.E-JS). Die Zahl der einzigartigen Webminer-Funde erhöhte sich vom 24. März auf den 25. März um 108%. Dies zeigt die Effizienz der Kompromittierung der Plattform. Die Werbeanzeige befand sich auf der ersten Seite von MSN[.]com (normalerweise die Default-Seite von Microsofts Browser). Dies ist ein möglicher Grund für die dramatische Erhöhung der Entdeckungen, denn eine erhebliche Zahl von Nutzern würde automatisch auf die Seite umgeleitet.

Der Webminer-Verkehr war mit der bösartigen Domäne www[.]jqcdn[.]download verbunden. Dieses Ereignis kann als Teil einer Kampagne gewertet werden, denn es gab weitere vier Domänen, die seit 2017 mit diesem bestimmten Mining-Skript in Verbindung standen.

Bild 1. Die Zahl der Funde von einzigartigen Webminern steigt vom 24. März zum 25. März sprunghaft an

Es zeigte sich auch, dass dieselbe Kampagne mehr als 500 Websites kompromittiert hatte. Die Websites waren verbunden mit der Seite www[.]datasecu[.]download, die dieselben Mining-Skripts wie die AOL-Werbeplattform enthielt.

Wenn ein Nutzer MSN besucht und die verseuchte Werbung angezeigt wird, so führt der Browser das Webminer-Programm aus. Der Miner läuft, auch ohne dass der Nutzer auf die Werbung klickt, und stoppt erst, wenn die Seite geschlossen wird. Die Forscher fanden heraus, dass es sich um JavaScript-Code auf Basis von Coinhive handelt. Dieser Miner nutzt private Web-Miningpools, um typischerweise Gebühren für öffentliche Pools zu vermeiden.

Die Untersuchung der kompromittierten Sites von AOL zeigt, dass die Kampagne die bösartigen Inhalte in Amazon Web Service (AWS) S3-Buckets vorhält. Die Namen der S3-Buckets waren in einigen kompromittierten URLs sichtbar, sodass sie näher untersucht werden konnten. Sie waren völlig ungesichert, offen für jeden. Da liegt der Verdacht nahe, dass der legitime AWS-Administrator die Berechtigungen für seine S3-Buckets nicht richtig aufgesetzt hatte, sodass der Angreifer den gehosteten Inhalt modifizieren konnte.

Nicht abgesicherte Amazon S3-Server sind seit 2017 zum Problem geworden, und einige Kryptowährungs-Miningtaktiken haben sie in diesem Jahr schon verwendet. Während der Analyse war zu beobachten, dass manche Websites die Berechtigungen für ihre Buckets berichtigt hatten, doch bemerkten sie nicht den in die Inhalte eingefügten bösartigen Code. Weitere technische Details enthält der Originalbeitrag.

Neben der sorgfältigen Konfigurierung der Server sollten Unternehmen sich mithilfe einer für den Bedarf geeigneten Cloud-Sicherheitslösung schützen. Trend Micro Deep Security for Cloud kann proaktive Bedrohungserkennung und Verhinderung bieten, während Hybrid Cloud Security hybride Umgebungen mit physischen, virtuellen und Cloud-Workloads optimal schützen kann.

Trend Micro Deep Security as a Service ist für AWS, Azure und VMware optimiert, um Server sofort zu schützen. Die Lösung reduziert den Druck auf überlastete IT-Abteilungen, denn sie nimmt ihnen das Aufsetzen der Sicherheit, Management und Updates ab.

Indicators of Compromise (IoC)

SHA256
c6c5b88e5b641484c9f50f1abdbebb10e5a48db057e35cb7f556779c5684003b

Bösartige Domänen Definition
www[.]jqcdn[.]download Private Webminer Domain
www[.]datasecu[.]download Private Webminer Domain
www[.]dataservices[.]download Private Webminer Domain
www[.]jquery-cdn[.]download Private Webminer Domain
www[.]securedates[.]download Private Webminer Domain

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

This site uses Akismet to reduce spam. Learn how your comment data is processed.