Cryptocurrency-Mining-Malware gewinnt unter Hackern an Popularität. Angreifer verwenden nun GitHub-Repositories und andere bekannte Repositories zum Speichern und Versorgen des bösartigen Codes. Auf GitHub werden die kostenlosen Accounts erstellt, um den verschleierten Code zu committen und später bei der Injektion zu verwenden. Die verschlüsselte Infektion tarnt sich normalerweise als legitime jQuery oder andere bekannte Bibliotheksdateien. Es sieht so aus, als ob 2018 diese neue Sicherheitsbedrohung -Cryptojacking- sich stark verbreiten wird. Mit der Explosion der Kryptowährung wird es ein bedeutender Teil der globalen Web-Malware-Landschaft werden. Wir gehen davon aus, dass Cyber-Kriminelle weiterhin Websites und Besucher-Systeme entführen werden, um sie als freie Rechenressourcen auszunutzen.

Wollen wir auf den Code einen Blick werfen, der kürzlich durch die Website-Sicherheitsüberwachung entdeckt wurde.

Malware-Analyse

Die allgemeine Infektion wird in die Themes-header-Datei gelegt:


Einmal entschlüsselt wird eine Verbindung zu GitHub aufgebaut, um eine Datei herunterzuladen: