Un nuevo informe publicado por seguridad investigada Troy Mursch detalla cómo el código de minería de criptomonedas conocido como Coinhive se está infiltrando en sitios desprevenidos de la web. Mursch detectó recientemente el código Coinhive que se ejecuta en casi 400 sitios web, incluidos los del zoológico de San Diego, Lenovo y otro de la Junta Nacional de Relaciones Laborales. La lista completa está disponible aquí.
En particular, la lista menciona varios sitios web oficiales del gobierno y la educación, incluida la Comisión de Igualdad de Oportunidades en el Empleo de la Oficina del Inspector General (EEOC) y sitios para la Universidad de Alepo y el programa de Ciencias Atmosféricas y Oceánicas de UCLA.
La mayoría de los sitios afectados están alojados en Amazon y se encuentran en los Estados Unidos y Mursch cree que se vieron comprometidos a través de una versión desactualizada de Drupal:
“Profundizando un poco más en la campaña de criptojacking, encontré en ambos casos que Coinhive se inyectó a través del mismo método. El código malicioso estaba contenido en la biblioteca de JavaScript “/misc/jquery.once.js?v=1.2”. Poco después, se me notificó sobre otros sitios comprometidos que usaban una carga útil diferente. Sin embargo, todos los sitios infectados apuntaban al mismo dominio utilizando la misma clave de sitio de Coinhive.
Una vez que el código fue desofuscado, se vio claramente la referencia a “http://vuuwd.com/t.js”. Al visitar la URL, se reveló la fea verdad. Se encontró una implementación ligeramente estrangulada de Coinhive “.
Coinhive, un programa de JavaScript, extrae la criptomoneda conocida como Monero en segundo plano a través de un navegador web. Si bien Coinhive no es intrínsecamente malicioso, puede inyectarse en un código desprevenido en un ataque de “cryptojacking”, lo que lo obliga a minar Monero sin el conocimiento de la víctima.
Source link