WordPress voorzien van cryptonight mining JavaScript

Tijdens een routine controle van een van de WordPress websites, die ik in het verleden heb ontwikkeld, viel het mij op dat er vreemde Javascript code toegevoegd was. Deze Javascript code was aan het einde van twee berichten toegevoegd door een bestaande gebruiker. Ik zag dit toevallig op de voorpagina van wp-admin waar de Simple History plugin de laatste acties toont.

Ik heb dit daarom verder onderzocht. Blijkbaar was de Javascript code als losse opslagactie toegevoegd aan het bericht. Dit stond dus helemaal los van de content die al eerder was toegevoegd. Hieronder staat een screenshot van de JavaScript code die me meteen doe denken aan de WordPress malware code die ik een tijdje geleden heb onderzocht.

JavaScript code die externe JavaScript code inlaad om Cryptonight coins te minen.

Na het ontcijferen van deze code bleek de code weer JavaScript bestanden van externe websites in te laden die ook weer ontcijferd moesten worden. Dat code ontcijfert moet worden geeft al snel aan dat het om code gaat die geheim moet blijven. Afhankelijk welke manier de auteur gebruikt om de code geheim te maken zijn Online JavaScript beautifier of Base64 Decode en Encode mooie hulpmiddelen.

Na het ontcijferen wordt er een JavaScript ingeladen van 1725 regels code. Wegens de hoeveelheid regels heb ik het script niet toegevoegd aan dit bericht. Uit onderzoek blijkt dat het script als doel had om bitcoins van het type Cryptonight te minen. Cryptonight coins worden gemined (verzamelt) door het uitvoeren van complexe berekeningen op computers.

JavaScript wordt altijd uitgevoerd op de computer van de bezoeker. Door het JavaScript bestand uit te voeren worden er dus coins gemined door gebruik te maken van de rekenkracht van de computer van de bezoeker. De bezoeker zal merken dat de computer hierdoor trager reageert omdat er telkens 100% gebruik gemaakt wordt van de rekenkracht.

Ik heb vervolgens de JavaScript code verwijderd en het account waarmee de JavaScript code was toegevoegd voorzien van een nieuw wachtwoord. Hierna heb ik een e-mail met mijn bevindingen gestuurd naar de eigenaar van de website.

Paar tips:

  1. Controleer af en toe of er geen vreemde dingen gebeuren op je website
  2. Installeer Simple History plugin, maakt activiteit controle gemakkelijker
  3. Gebruik een SSL certificaat voor versleuteling van verkeer tussen bezoeker en website
  4. Maak gebruik van complexe wachtwoorden, dus geen goudvis1 of wachtwoord2

Een reactie

Laat een reactie achter

Your email address will not be published. Required fields are marked *

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.