Helft websites met WebAssembly misbruikt het voor cryptomining

Het relatief nieuwe WebAssembly blijkt voorlopig weinig populair. De helft van de websites die de technologie wél gebruiken, gebruikt het bovendien voor kwaadaardige doeleinden.

WebAssembly (Wasm) is gebaseerd op asm.js, een subset van JavaScript. Het vormt een aanvulling op JavaScript en laat ontwikkelaars eenvoudiger vanuit de browser low-levelfuncties van een besturingssysteem aanspreken, om zo krachtigere webapplicaties te kunnen maken.

Weinig populair

WebAssembly zag in 2017 het levenslicht, maar werd pas eind 2019 officieel als W3C-standaard goedgekeurd. Voorlopig is de technologie dan ook nog niet echt doorgebroken. Slechts 1.639 van de 1 miljoen grootste websites maken er gebruik van, zo blijkt uit nieuw academisch onderzoek van de Technische Universiteit in Braunschweig, Duitsland.

Verspreid over die 1.639 websites werden 1.950 Wasm-modules aangetroffen. Daarbij is evenwel veel hergebruik: de onderzoekers ontdekten slechts 150 unieke samples. “In één geval was exact dezelfde module aanwezig op 346 verschillende sites”, schrijven de onderzoekers in hun paper.

Langs de andere kant waren 87 samples dan weer volledig uniek en werden ze slechts op één website aangetroffen. Dat is meer dan de helft, wat er op wijst dat er toch ook veel maatwerk gebeurt.

Cryptomining

Naast de adoptie van WebAssembly, onderzochten de onderzoekers ook waar de code voor wordt gebruikt. Die doeleinden zijn hoofdzakelijk legitiem, met online gaming (29,3 %) als grootste categorie. 38,7 procent van de samples wordt evenwel voor kwaadaardig opzet gebruikt.

De voornaamste kwaadaardige categorie is cryptomining, waarbij cryptomunten worden gemined met de computerkracht van (veelal nietsvermoedende) websitebezoekers. Van de 150 unieke samples werd 32 procent daarvoor gebruikt.

Een analyse van de websites toont dat meer dan de helft (55,7%) Wasm-code bevat voor cryptomining. Vaak gaat het om gehackte websites, waarvan de eigenaar niet noodzakelijk weet dat er een cryptominer actief is.

De tweede kwaadaardige categorie is ‘obfuscation’, waarbij de inhoud van Wasm-modules met opzet wordt verborgen. Deze worden voornamelijk gebruikt in malvertisingcampagnes. In dit geval ging het om 6,7 procent van de samples en amper 0,2 procent van de websites.

Topje van de ijsberg

De onderzoekers vrezen dat het om een nieuwe trend in wording gaat en het gebruik van WebAssembly voor verkeerde bedoelingen in de toekomst alleen maar zal toenemen.

“We zien momenteel alleen het topje van de ijsberg van een nieuwe generatie malware-obfuscaties op het web”, besluiten de onderzoekers in hun paper.