image

Onderzoeker: 2500 gehackte webwinkels voorzien van cryptominer

donderdag 9 november 2017, 12:51 door Redactie, 5 reacties

De Nederlandse beveiligingsonderzoeker Willem de Groot heeft naar eigen zeggen 2500 gehackte webwinkels ontdekt waar aanvallers een cryptominer aan hebben toegevoegd. Cryptominers gebruiken de rekenkracht van de computer van bezoekers voor het minen van cryptocurrencies zoals Monero. In de meeste gevallen worden gebruikers hier niet over geïnformeerd.

Zo maakte anti-malwarebedrijf Malwarebytes dinsdag bekend dat het de Coinhive-cryptominer 8 miljoen keer per dag blokkeert. Cryptominers worden echter niet alleen door eigenaren van websites toegevoegd om inkomsten te genereren, ook cybercriminelen doen dit. De Groot ontdekte dat 85 procent van de 2500 gehackte webwinkels wijst naar twee Coinhive-accounts. De resterende 15 procent is over unieke Coinhive-accounts verspreid.

Gezien de naamgeving die de aanvallers gebruiken vermoedt de onderzoeker dat drie personen of groepen achter het toevoegen van de cryptominers zitten. Daarnaast ontdekte De Groot dat 80 procent van de gehackte webwinkels ook van "skimming-malware" is voorzien. Het gaat hierbij om malware die creditcardgegevens van klanten onderschept. "Klaarblijkelijk proberen cyberdieven bij de door hun gehackte webwinkels het onderste uit de kan te halen", aldus de onderzoeker. De Groot heeft detectie-signatures van de cryptominer-code aan zijn open source "Magento Malware Scanner" toegevoegd.

Reacties (5)
09-11-2017, 13:21 door Anoniem
Even een extensie donwloaden in je browser (Block Coin Miners bijvoorbeeld) en je hebt hier geen last meer van.
09-11-2017, 15:33 door Anoniem
Soms is het middel kwadratisch erger dan de kwaal!
Typisch geval van heel moeilijk doen, leuk hobby project voor als je wil kloten met code maar het kost je vooral heel veel meer tijd en veiliger wordt je systeem er zeker niet op.

Applicatie of "a collection of rules"
https://github.com/gwillem/magento-malware-scanner

Welja goed ideee!? Tijd teveel of zo?
https://github.com/gwillem/magento-malware-scanner/commit/b04060429344643b8b29606dbb9a176aab76c9c3

Bovendien, je maakt het malware alleen maar makkelijker
https://blog.malwarebytes.com/threat-analysis/2017/04/new-osx-dok-malware-intercepts-web-traffic/
https://blog.malwarebytes.com/threat-analysis/mac-threat-analysis/2017/05/handbrake-hacked-to-drop-new-variant-of-proton-malware/
Of zou het niet werken omdat het er al op staat?

En waarom ook niet nog een extra lijntje naar google?
https://news.ycombinator.com/item?id=11566720

Ergo, geen overbodige zooi op je systeem zetten als het niet nodig is.
Geen JAVA geen Homebrew, weg ermee (Apple levert het ook niet voor niets NIET mee).

Onzinnig project dus, dit miner probleemje tackle je met een simpele standaard browser extensie die je allang op je systeem had kunnen hebben vanuit security : een ad-blocker, een javascript manager.
10-11-2017, 08:53 door Anoniem
Even een extensie donwloaden in je browser (Block Coin Miners bijvoorbeeld) en je hebt hier geen last meer van.

Liever bredere oplossingen die iedereen beschermen..... ;)
10-11-2017, 09:22 door Anoniem
Onzinnig project dus, dit miner probleemje tackle je met een simpele standaard browser extensie die je allang op je systeem had kunnen hebben vanuit security : een ad-blocker, een javascript manager.

Het zou nog veel beter zijn indien IE, Chrome, Firefox en dergelijke zouden worden aangepast, waardoor iedere gebruiker (en website beheerder) wordt beschermd tegen dergelijk misbruik. De magento scanner functionaliteit zou je kunnen inbouwen. Je zou kunnen zorgen dat er toestemming wordt gevraagd voordat de plugin kan minen, en meer van dat soort zaken.

Natuurlijk zijn oplossingen op je eigen PC mooi als lapmiddel zolang dit niet gebeurt ;)
10-11-2017, 13:41 door Anoniem
Want we hebben bescherming tegen oude technologie (cookies, nu zojuist aangevuld met evil redirects blokkering bij firefox), maar nog niet tegen een nieuwere technologie, als het hier aangehaalde bitcoin mining of aan de andere kant van de medaille gebruik maken van extra capaciteit op mining sites voor extra anonimiteit of voor bijvoorbeeld profiling en phishing, waar de standaarden weer wat meer dubbel liggen (Google phishing is geen phishing al het andere kan bad phishing zijn).

Het aandacht vragen voor de problematiek van de Groot en zijn bewakingsinteressen voor de Magento CMS is een loffelijk streven en verdient ook over genomen te worden. Heb je een Magento webshop, zou ik zeker even een "mage scanner" scan rapportje online willen inzien en kijken wat ik wel en niet ge-update en gepatcht heb.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.