criptomonedas-hacking-zgh

Sitios Web Hackeados Minan Criptomonedas

Las criptomonedas están de moda. Bitcoin, altcoins, blockchain, granjas de minas, etc., haciendo que las tasas de intercambio se eleven por las nubes. Es por esto que todo el mundo está tratando de subirse a este tren.

 

Esta tendencia promovió la aparición de las plataformas en línea que le permiten a los administradores de sitios web instalar mineros de monedas como métodos alternativos de monetización. Las plataformas más destacadas que proveen mineros de criptomonedas para sitios web son JSE Coin y Coinhive.

 

Ambas plataformas le permiten a los administradores de sitios web obtener una porción de código JavaScript que pueden instalar en sus sitios. Este código trabajará como un proceso silencioso en el navegador de los visitantes, minando monedas utilizando el exceso de potencia en la CPU de su computadora.

 

Esto es lo que sucede cuando visitas un sitio web con un Minero JavaScript de CoinHive.

 

cpu-coinhive-tpb-zgh Uso de CPU con Coinhive

 

Inyección Maliciosa con Minero CoinHive

 

Según reveló Sucuri a través de su blog, un administrador de sitios web los contactó y les comentó que sus visitantes notaron una carga de procesamiento grande cuando visitaban su sitio. Incluso, algunos de ellos lograron identificar el minero de criptomonedas (cryptominer en inglés) en el sitio. El código HTML de las páginas web del sitio contenían este código en la sección footer:

 

coinhive-injected-malware-script
 
El ejecutable security.fblaster[.]com cargaba el ejecutable para el Minero CoinHive.
 
coinhive-miner-script-malware-650x107
 

Esta no es la manera oficial de utilizar el Minero CoinHive, que se supone tiene que cargarse desde lib/coinhive.min.js en su propio sitio web, pero si revisas la primera línea larga en el ejecutable de “security.fblaster[.]com”, notarás que es idéntico al coinhive.min.js de CoinHive. La utilidad del resto de líneas es básicamente inicializar el minero utilizando la clave única del sitio web y comenzando al momento de cargar la página.

Malware de Security.fblaster[.]com

Sucuri indicó que realizaron una búsqueda para security.fblaster[.]com, y encontraron inyecciones bastante similares en otros sitios.

  • hxxp://security.fblaster[.]com/sidebar.js?id=1
  • hxxp://security.fblaster[.]com/slider.js?id=1
  • hxxp://security.fblaster[.]com/widgets.js?id=1

Los nombres de los ejecutables están hechos para aparentar ser legítimos, de modo que los administradores del sitio web no se alarmen al notarlos. Además, algunos de los sitios que investigaron, hacían referencia a los nombres de dominio de los sitios web infectados dentro del ejecutable malicioso, haciéndolos ver como que de verdad pertenecían al sitio.

Crecimiento Explosivo

 

Si bien, esto es tan sólo una pincelada de lo que está sucediendo, continúan apareciendo publicaciones reportando este tipo de infecciones. Es posible notar que toda la atención se traslado a explotar mineros de criptomonedas en lugar de las tradicionales cargas de código malicioso.

 

Como en todas las cosas, la minería de criptomonedas para sitios web es una herramienta que podría resultar útil para monetizar nuestros sitios, pero en manos de otros podría resultar en un abuso masivo difícil de controlar.

 

Por eso nuestra recomendación es a estar atentos, monitoreando permanentemente nuestros sitios y los que visitamos.

 

Fuente: https://blog.sucuri.net/espanol/

 

Add your review

Su dirección de correo no se hará público. Los campos requeridos están marcados *