Un nuevo informe publicado por la investigación de seguridad Troy Mursch detalla cómo el código de minería de criptomonedas conocido como Coinhive se está infiltrando en sitios desprevenidos en la web. Recientemente, Mursch detectó el código Coinhive que se ejecuta en casi 400 sitios web, incluidos los que pertenecen al Zoológico de San Diego, Lenovo y otro para la Junta Nacional de Relaciones Laborales. La lista completa está disponible aquí.
Notablemente, la lista nombra una cantidad de sitios web gubernamentales y educativos, incluyendo la Comisión de Igualdad de Oportunidades en el Empleo (EEOC) de la Oficina del Inspector General y sitios para la Universidad de Alepo y el programa de Ciencias Oceánicas y Atmosféricas de UCLA.
La mayoría de los sitios afectados son alojados por Amazon y se encuentran en los Estados Unidos y Mursch cree que se vieron comprometidos por una versión obsoleta de Drupal:
"Profundizando un poco más en la campaña cryptojacking, encontré en ambos casos que Coinhive se inyectó mediante el mismo método. El código malicioso estaba en la biblioteca de JavaScript "/misc/jquery.once.js?v=1.2". Poco después, recibí notificaciones de sitios comprometidos adicionales que usaban una carga útil diferente. Sin embargo, todos los sitios infectados apuntaban al mismo dominio usando la misma clave de sitio de Coinhive.
Una vez que se desofuscó el código, se vio claramente la referencia a "http://vuuwd.com/t.js". Al visitar la URL, se reveló la fea verdad. Se encontró una implementación ligeramente acelerada de Coinhive. "
Coinhive, un programa de JavaScript, extrae la criptomoneda conocida como Monero en segundo plano a través de un navegador web. Si bien Coinhive no es intrínsecamente malicioso, puede ser inyectado en un código desprevenido en un ataque de "criptockeo", forzándolo a explotar a Monero sin que la víctima lo sepa.
Sé el primero en comentar