Es gab (und gibt) Entwickler im WordPress-Universum, die experimentieren mit allen möglichen Geschäftsmodellen und es ist nicht erstaunlich, dass dort auch das Thema Cryptomining auftaucht. Letztlich bietet jede installierte Plugin-Version die Möglichkeit, etwas – oder gar fast alles – der Prozessorleistung zu kapern und zu anderen Zwecken zu nutzen, als die originären Ansätze des Plugins vermuten lassen. Das Vorgaukeln falscher Tatsachen ist auch bei dem Plugin “Animated Weather Widget” Geschäftszweck, denn mit dem Wetter hat das wenig zu tun. Und wenn man sich wundern sollte, warum der Rechner plötzlich so langsam ist, dann liegt das nicht an der animierten Wettervorhersage, sondern daran, dass das Widget im Hintergrund die Leistung zum Minen von Monero-Coins verwendet. Man selbst bekommt davon natürlich nichts mit, geschweige denn vom Ertrag, den man durch seinen eigenen Strom auch noch ermöglicht hat.
Der Plugin-Security-Anbieter WordFence hat das in einem Beitrag von gestern öffentlich gemacht: The WordPress plugin repository recently removed a plugin known as “Animated Weather Widget by weatherfor.us.” We dug a little deeper, and it appears that the plugin was removed for including JavaScript code that would mine cryptocurrency using the CPU resources of site visitors.
It works as follows:
- A WordPress site owner installs the “Animated Weather” plugin.
- The plugin loads an iframe. This allows the owner to include any code they want in visitors’ browsers, and to change the code at any time.
- The iframe loads code from CoinHive that mines the Monero cryptocurrency. The mining activity uses significant site visitor CPU resources.
- Earnings are sent back to CoinHive and aggregated into the account owner’s bank account. Presumably, the account owner in this case is the owner of the “Animated weather” plugin. CoinHive keep 30% of the profits.
This allows the plugin owner to earn money by using the CPU resources of visitors to sites using the “Animated weather” plugin.
Auch hier gibt es Neuigkeiten, wenn auch schlechte! WordFence hat durch einen kleinen Zufall ein neues Malware Action Kit entdeckt und das Besondere daran ist, dass es it einer “Wörterliste” arbeitet, welche bekannte Malware-Begriffe und/oder Code-Schnipseln durch Übersetzungen zu verdecken versucht. Im Prinzip wie die Geheimsprache aus unseren Kindheitstagen: Willewillst Dulevu ei-leifei-nellefe neulefeu-ellefe Coilefoin-Stralefagielifie…
The first thing that made this attacker different from others is that, instead of using a standard javascript code obfuscator that just scrambles the code, they were using a finite wordlist to replace variable and function names in the code. When you look at the code, the variable and function names just seem like gibberish:
1 function flu(sake,immobilitys)
2 {
3 chains = neatly / seehis;
4 plotted = airs / lucky;
5 storm = immediately + lowly;
6 guests = soothed — lucie;
7 }
“Monero is uniquely suited for this sort of hack for two reasons. Firstly, it is designed for individual anonymity and identifying the person who is receiving the mined coins is extremely difficult. Secondly, the mining algorithm is meant to be run on a CPU rather than GPU. Most web servers don’t have GPUs, and so mining a currency that allows you to effectively use a CPU is an ideal way to turn stolen web server processing power into hard cryptocurrency. When you aggregate a thousand or tens of thousands of hacked web servers together, that can result in a significant profit for an attacker.”
https://www.wordfence.com/blog/2018/05/wordpress-tracking-emerging-cryptomining-threats/?utm_source=list&utm_medium=email&utm_campaign=050818
https://www.ccn.com/cryptojacking-attack-hits-hundreds-of-websites-to-mine-monero/
Es ist zu erwarten, dass die Malware-Attacken bzw. das Hijacking von Prozessorenleistung weiter zunehmen wird und dem einen oder anderen nicht einmal auffällt. Sehr gerissen dieses Vorgehen mit einer “Wörterliste”.