La mitad de los sitios net que usan WebAssembly lo usan con fines maliciosos


ensamblaje web

Según la investigación académica publicada el año pasado, alrededor de la mitad de los sitios web que usan WebAssembly, una nueva tecnología website, la usan con fines maliciosos.

WebAssembly es un lenguaje de código de bytes de bajo nivel que se creó después de una colaboración conjunta entre todos los principales proveedores de navegadores.

Introduce un nuevo formato de archivo binario para transmitir código desde un servidor web a un navegador. Una vez que llega al navegador, el código de WebAssembly (Wasm) se ejecuta con una velocidad casi nativa, related al código C, C ++ o Rust compilado.

WebAssembly fue creado para la velocidad y el rendimiento. Debido a su formato binario amigable con la máquina, el código Wasm es más pequeño que su formulario JavaScript equivalente, pero también muchas veces más rápido cuando se ejecuta. Esto ha convertido a WebAssembly en la próxima encarnación de Adobe Flash, permitiendo a los sitios website ejecutar código complejo con uso intensivo de CPU sin congelar un navegador, una tarea para la que JavaScript nunca fue diseñado u optimizado.

WebAssembly se propuso por primera vez en 2017, se aprobó como estándar oficial del W3C (World Wide Website Consortium) a finales de 2019, y actualmente es suitable con todos los principales navegadores, tanto en dispositivos de escritorio como en dispositivos móviles.

Evaluar el uso de WebAssembly

En un proyecto de investigación académica que se llevó a cabo el año pasado, cuatro investigadores de la Universidad Técnica de Braunschweig, Alemania, analizaron el uso de WebAssembly en los sitios populares de Alexa Prime 1 Million en World wide web, en un intento por medir la popularidad de esta nueva tecnología.

Durante un período de cuatro días, el equipo de investigación cargó cada uno de los sitios internet de Alexa Best 1 Million, junto con tres páginas aleatorias, y midió el uso de WebAssembly, pero también el tiempo que tomó cada sitio para ejecutar el código.

En full, el equipo de investigación dice que analizó el uso de WebAssembly en 947,704 sitios de Alexa Top rated 1 Million (algunos estaban fuera de línea o habían agotado el tiempo durante las pruebas), analizando el código de un total de 3,465,320 páginas individuales.

wa-1.png "src =" https://zdnet3.cbsistatic.com/hub/i/2020/01/07/bb87ef21-6680-4984-8aaf-a32b3c002ae1/wa-1.png

Imagen: Musch et al.

«En typical, descubrimos 1,639 sitios que cargan 1,950 módulos Wasm, de los cuales 150 son muestras únicas», dijo el equipo de investigación.

«Esto significa que algunos módulos Wasm son lo suficientemente populares como para encontrarse en muchos sitios diferentes», dijeron. «En un caso, exactamente el mismo módulo estaba presente en 346 sitios diferentes».

«Por otro lado, 87 muestras son completamente únicas y se encontraron solo en un sitio, lo que indica que muchos módulos son un desarrollo personalizado para un sitio internet».

Utilizado principalmente para criptominería y juegos

Pero el equipo de investigación también analizó la naturaleza del código Wasm que cada sitio world-wide-web estaba cargando. Analizaron manualmente el código, observaron los nombres de las funciones y las cadenas incrustadas, y luego mapearon grupos de código identical.

Los investigadores dijeron que la gran mayoría de las muestras de código que analizaron se utilizaron para la minería de criptomonedas (32% de las muestras) y los juegos en línea (29.3% de las muestras).

wa-2.png "src =" https://zdnet2.cbsistatic.com/hub/i/2020/01/07/f148dce5-9651-4cd0-9a50-8da52f8d19fc/wa-2.png

Imagen: Musch et al.

Sin embargo, si bien la gran mayoría de las muestras se usaron con fines legítimos, dos categorías de código Wasm se destacaron como inherentemente maliciosas.

La primera categoría fue el código de WebAssembly utilizado para la minería de criptomonedas. Estos tipos de módulos Wasm a menudo se encontraban en sitios pirateados, como parte de los llamados ataques de criptojacking (minería forzada).

La segunda categoría se refería al código de WebAssembly empaquetado dentro de módulos Wasm ofuscados que ocultaban intencionalmente su contenido. Estos módulos, dijo el equipo de investigación, se encontraron parte de campañas de publicidad maliciosa.

El equipo de investigación dice que el código de WebAssembly de estas dos categorías representó el 38.7% de las muestras que encontraron, pero los módulos se usaron en más de la mitad de los sitios net que analizaron, principalmente porque el código a menudo se reutilizó en múltiples dominios, parte de grandes operaciones de piratería a gran escala.

En el futuro, los investigadores dicen que ven la tendencia de usar el código de WebAssembly con fines maliciosos que gane fuerza en el futuro próximo.

«Actualmente solo estamos viendo la punta del iceberg de una nueva generación de ofuscaciones de malware en la World wide web», dijo el equipo de investigación.

Los académicos recomiendan que las empresas de seguridad cibernética inviertan en actualizar los productos de seguridad para manejar el nuevo espectro de amenazas que se originarán en esta nueva tecnología.



Enlace a la noticia unique