Kryptojacking greift Märkte an, Monero-Miner-Malware zielt auf über 3.500 Websites ab

Cryptojacking-Angriffe sind zurück und haben über 3.500 Websites kompromittiert. Die Angreifer kapern unbemerkt die Browser der Nutzer, um Monero, eine datenschutzorientierte Kryptowährung, zu schürfen. Die Kampagne wurde am Dienstag vom Cybersicherheitsunternehmen c/side aufgedeckt, fast sieben Jahre nachdem der Dienst Coinhive eingestellt wurde, der diese Taktik seit 2017 populär gemacht hatte.

Laut den Forschern von c/side ist die Schadsoftware in verschleiertem JavaScript-Code versteckt, der unbemerkt einen Miner ausführt, sobald Nutzer eine infizierte Website besuchen. Sobald ein Besucher auf die kompromittierte Seite gelangt, ermittelt das Skript im Hintergrund die Rechenleistung des Geräts. Anschließend startet es parallele Web Worker im Hintergrund, um ohne Zustimmung des Nutzers Mining-Operationen durchzuführen.

Durch Drosselung der Prozessorlast und Umleitung der Kommunikation über WebSocket-Streams entgeht der Miner der Entdeckung und verbirgt sich hinter dem normalen Browserverkehr. „Ziel ist es, Ressourcen über einen längeren Zeitraum hinweg abzuzapfen, wie ein digitaler Vampir, der beharrlich Ressourcen saugt“, erklärten die Analysten von c/side.

Funktionsweise des Cryptojacking-Codes

c/side entdeckte einen Code, der über eine JavaScript-Datei eines Drittanbieters, geladen von https://www.yobox[.]store/karma/karma.js?karma=bs?nosaj=faster.mo, auf einer Website eingeschleust wurde. Anstatt Monero beim ersten Start zu schürfen, prüft das Programm zunächst, ob der Browser des Nutzers WebAssembly unterstützt, einen Standard für rechenintensive Anwendungen. 

Der Code prüft anschließend, ob das Gerät für das Mining geeignet ist, und startet im Hintergrund sogenannte Web Worker, sogenannte „Worcy“. Diese führen die Mining-Aufgaben diskret aus und lassen den Hauptbrowser-Thread unberührt. Befehle und Mining-Intensitätsstufen werden über WebSocket-Verbindungen von einem Command-and-Control-Server (C2) übermittelt. 

Die Hosting-Domain des JavaScript-Miners wurde bereits mit Magecart-Kampagnen in Verbindung gebracht, die für den Diebstahl von Zahlungskartendaten berüchtigt sind. Dies könnte darauf hindeuten, dass die Gruppe hinter der aktuellen Kampagne bereits Erfahrung mit Cyberkriminalität hat. 

Die Bedrohung verbreitet sich durch Sicherheitslücken auf Websites

In den letzten Wochen haben Cybersicherheitsexperten mehrere clientseitige Angriffe auf WordPress-Websites entdeckt. Die Forscher stießen auf Infektionsmethoden, die bösartigen JavaScript- oder PHP-Code in WordPress-Websites einbetten.

Angreifer missbrauchen Googles OAuth-System, indem sie JavaScript in Callback-Parameter einbetten, die an URLs wie „accounts.google.com/o/oauth2/revoke“ gebunden sind. Die Weiterleitung führt Browser über eine verschleierte JavaScript-Payload, die eine WebSocket-Verbindung zum Server des Angreifers herstellt.

Eine andere Methode schleust Skripte über den Google Tag Manager (GTM) ein, die dann direkt in WordPress-Datenbanktabellen wie wp_options und wp_posts eingebettet werden. Dieses Skript leitet Nutzer unbemerkt auf über 200 Spam-Domains weiter. 

Andere Methoden umfassen Änderungen an den wp-settings.php-Dateien von WordPress, um Schadsoftware aus ZIP-Archiven auf externen Servern abzurufen. Nach der Aktivierung beeinträchtigen diese Skripte das Suchmaschinenranking einer Website und fügen Inhalte hinzu, um die Sichtbarkeit betrügerischer Websites zu verbessern.

In einem Fall wurde Code in das PHP-Skript der Fußzeile eines Themes eingeschleust, wodurch der Browser den Nutzer auf schädliche Webseiten umleitete. In einem anderen Fall handelte es sich um ein gefälschtes WordPress-Plugin, benannt nach der infizierten Domain. Dieses Plugin erkannte, wenn Suchmaschinen-Crawler die Seite besuchten, und sendete dann Spam-Inhalte, um die Suchmaschinenplatzierung zu manipulieren – für menschliche Besucher jedoch unsichtbar.

C/side berichtete, dass die Versionen 2.9.11.1 und 2.9.12 des Gravity Forms-Plugins kompromittiert und im Rahmen eines Lieferkettenangriffs über die offizielle Plugin-Website verbreitet wurden. Die manipulierten Versionen kontaktieren einen externen Server, um zusätzliche Schadsoftware abzurufen und versuchen, ein Administratorkonto auf der WordPress- Website.

Im Herbst 2024 wurde die US-Behörde für internationale Entwicklung (USAID) Opfer von Kryptojacking, nachdem Microsoft aufmerksam gemacht hatte . Die Angreifer hatten sich mithilfe einer Passwort-Spray-Attacke Zugang zum System verschafft und anschließend über die Azure-Cloud-Infrastruktur von USAID ein zweites Konto für Krypto-Mining-Operationen erstellt.