Sebanyak 207 situs web telah terinfeksi dengan kode berbahaya yang dirancang untuk meluncurkan penambang cryptocurrency dengan memanfaatkan WebAssembly (Wasm) di browser.
Perusahaan keamanan web Sucuri, yang menerbitkan rincian kampanye, mengatakan pihaknya meluncurkan penyelidikan setelah salah satu kliennya komputer mereka melambat secara signifikan setiap kali menavigasi ke portal WordPress mereka sendiri.
Ini menemukan kompromi file tema untuk menyuntikkan kode JavaScript berbahaya dari server jauh — hxxps://wm.bmwebm[.]org/auto.js — yang dimuat setiap kali halaman situs web diakses.
“Setelah didekode, konten auto.js segera mengungkapkan fungsionalitas cryptominer yang mulai menambang ketika pengunjung masuk ke situs yang disusupi,” kata peneliti malware Sucuri, Cesar Anjos.
Terlebih lagi, kode auto.js yang tidak disamarkan menggunakan WebAssembly untuk menjalankan kode biner tingkat rendah langsung di browser.
WebAssembly, yang didukung oleh semua browser utama, adalah format instruksi biner yang menawarkan peningkatan kinerja di atas JavaScript, memungkinkan aplikasi yang ditulis dalam bahasa seperti C, C++, dan Rust untuk dikompilasi ke dalam bahasa seperti perakitan tingkat rendah yang dapat langsung berjalan di browser.
“Saat digunakan di browser web, Wasm berjalan di lingkungan eksekusi kotak pasirnya sendiri,” kata Anjos. “Karena sudah dikompilasi ke dalam format perakitan, browser dapat membaca dan menjalankan operasinya dengan kecepatan yang tidak dapat ditandingi oleh JavaScript sendiri.”
Domain yang dikendalikan aktor, wm.bmwebm[.]org, dikatakan telah terdaftar pada Januari 2021, menyiratkan infrastruktur terus tetap aktif selama lebih dari 1,5 tahun tanpa menarik perhatian.
Selain itu, domain juga dilengkapi dengan kemampuan untuk secara otomatis menghasilkan file JavaScript yang menyamar sebagai file yang tampaknya tidak berbahaya atau layanan yang sah seperti Google Ads (misalnya, adservicegoogle.js, wordpresscore.js, dan facebook-sdk.js) ke menyembunyikan perilaku jahatnya.
“Fungsi ini juga memungkinkan aktor jahat untuk menyuntikkan skrip di beberapa lokasi di situs web yang disusupi dan tetap mempertahankan tampilan bahwa suntikan ‘milik’ di dalam lingkungan,” kata Anjos.
Ini bukan pertama kalinya kemampuan WebAssembly untuk menjalankan aplikasi berkinerja tinggi di halaman web telah meningkatkan potensi bahaya keamanan.
Mengesampingkan fakta bahwa format biner Wasm membuat deteksi dan analisis oleh mesin antivirus konvensional menjadi lebih menantang, teknik ini dapat membuka pintu untuk serangan berbasis browser yang lebih canggih seperti e-skimming yang dapat terbang di bawah radar untuk waktu yang lama.
Masalah rumit lebih lanjut adalah kurangnya pemeriksaan integritas untuk modul Wasm, yang secara efektif membuat tidak mungkin untuk menentukan apakah suatu aplikasi telah dirusak.
Untuk membantu menggambarkan kelemahan keamanan WebAssembly, sebuah studi tahun 2020 oleh sekelompok akademisi dari University of Stuttgart dan Bundeswehr University Munich menemukan masalah keamanan yang dapat digunakan untuk menulis ke memori arbitrer, menimpa data sensitif, dan membajak aliran kontrol.
Penelitian selanjutnya yang diterbitkan pada November 2021 berdasarkan terjemahan dari 4.469 program C dengan kerentanan buffer overflow yang diketahui ke Wasm menemukan bahwa “mengkompilasi program C yang ada ke WebAssembly tanpa tindakan pencegahan tambahan dapat menghambat keamanannya.”