Cómo los widgets pirateados ayudan a los criminales a minar Monero

Obtenga recomendaciones comerciales y análisis de lectura en Hacked.com por solo $ 39 por mes.

La minería secreta de criptomonedas se está perfilando como el nuevo pilar del cibercrimen. Los ladrones piratean servidores, computadoras personales y dispositivos móviles y aprovechan la CPU o GPU de los hosts infectados para generar monedas virtuales sin conciencia de las víctimas. Incluso las botnets compuestas por numerosas máquinas zombis ahora se usan para perpetrar actividades mineras ilegales a gran escala en lugar de arrojar spam o atacar los servicios en línea con ataques DDoS.

Este vector de dinero malicioso recibió un impulso con la aparición de scripts de minería en el navegador, como Coinhive . Los siguientes incidentes que tuvieron lugar recientemente ilustran cuán serio se está convirtiendo este problema y cómo los widgets de sitios web atrapados en trampas juegan en manos de los actores de la amenaza.

El ataque de widget BrowseAloud afecta a miles de sitios

El 11 de febrero de 2018 se instaló una ola masiva de cifrado, aprovechando un popular widget llamado BrowseAloud. Los malhechores pudieron inyectar a un subrepticio minero de Monero en más de 4,200 recursos de Internet, incluidos los de alto perfil como el Reino Unido, los EE. UU. Y los sitios web del gobierno australiano. A raíz de este compromiso, la secuencia de comandos maliciosa aprovechó el poder de procesamiento de las máquinas de los visitantes para extraer criptomonedas entre bastidores.

Para el registro, BrowseAloud es una herramienta de Texthelp Ltd. diseñada para mejorar el acceso al sitio web para un público más amplio a través de las funciones de voz, lectura y traducción. Al agregar este widget a los sitios, los webmasters se aseguran de que las personas con dislexia, trastornos visuales y habilidades deficientes de inglés puedan participar y utilizar sus servicios al máximo. Además, el software ayuda a los propietarios de sitios a cumplir con varias obligaciones legales, por lo que no es de extrañar que sea ampliamente utilizado en todo el mundo y se haya convertido en el objetivo de los hackers.

De acuerdo con los hallazgos de los analistas de seguridad, los delincuentes de alguna manera lograron comprometer el componente de JavaScript de la utilidad BrowseAloud y, por lo tanto, insertaron un código minero ofuscado de Coinhive ofuscado en numerosos sitios web que utilizan este widget. Algunas de las víctimas notables incluyen uscourts.gov, legislation.qld.gov.au, manchester.gov.uk, gmc-uk.gov y nhsinform.scot. El recuento total de sitios que alojan el script incorrecto alcanzó 4.275.

Por cierto, el sitio oficial del vendedor de Texthelp también tenía al minero ejecutándolo. Cuando se presentó el compromiso, la empresa desconectó temporalmente el widget para evitar daños adicionales a los clientes. A partir del 15 de febrero, según los informes, se abordó la violación y el servicio se puso en funcionamiento como siempre.

La secuencia de comandos cryptojacking se configuró para consumir la CPU de las computadoras visitantes al 40%, probablemente para no generar muchas banderas rojas. Se conoce la dirección de monedero Coinhive de los atacantes, pero a diferencia de Bitcoin, el servicio no permite ver cuánto Monero tiene en sus carteras. Por lo tanto, la cantidad de criptomonedas minadas por el grupo detrás del hack BrowseAloud sigue siendo un misterio.

El widget LiveHelpNow explotado para la minería en el navegador

Otra campaña de cryptojacking que involucra un widget de sitio comenzó el Día de Acción de Gracias el año pasado. En busca de una ganancia fácil, los actores de la amenaza inyectaron al minero de Coinhive en uno de los módulos de JavaScript de LiveHelpNow, un popular widget de chat en vivo. Este widget es ampliamente utilizado por diversos recursos de comercio electrónico, incluidas tiendas minoristas como Everlast y Crucial.

Las estrellas se alinearon para los perpetradores, en particular, debido al próximo Black Friday y Cyber ​​Monday, cuando numerosos usuarios van a tiendas en línea en busca de mejores compras y otras ofertas. Además, no es probable que los administradores vigilen de cerca sus sitios por la actividad maliciosa de ese tipo durante las vacaciones.

El script de Coinhive oculto en una copia trojanizada del widget LiveHelpNow causará que el uso de la CPU de las computadoras visitantes alcance su punto máximo y se mantenga al 100% durante la sesión de Internet. Curiosamente, el minero se configuró para ejecutarse al azar, es decir, no todos los usuarios que acudieron a los sitios web comprometidos se unirían inmediatamente a la fiebre de la minería encubierta. En algunos casos, se requirió una actualización de página para que se inicie el script fraudulento. La razón de este enfoque selectivo es, sin duda, no atraer demasiada atención a la ola cryptojacking en curso.

De acuerdo con el motor de búsqueda de código fuente PublicWWW, el script tóxico ‘lhnhelpouttab-current.min.js’ se estaba ejecutando en más de 1.400 sitios web cuando esta campaña echó raíces. Hay pocos detalles disponibles sobre la fuente de la violación. Este vacío de evidencia ha generado especulaciones acerca de que el hack es un trabajo interno realizado por uno de los empleados de LiveHelpNow. De una forma u otra, fue un compromiso bien orquestado que debió haber traído a los ladrones una buena cantidad de Monero.

Cómo mantenerse en el lado seguro

Esta es una pregunta no trivial. El cifrado de cripto es subrepticio por naturaleza, por lo que la única forma de que los usuarios finales detecten este tipo de ataque es monitoreando el uso de la CPU; si se dispara constantemente, eso es una señal de alerta. En cuanto a las defensas, aquí hay algunos consejos que funcionan de forma proactiva:

  • Instale una extensión de navegador que bloquee automáticamente todos los mineros conocidos de JavaScript. Algunos complementos populares que valen la pena incluyen minerBlock y No Coin .
  • La mayoría de los adblockers pueden detener a los mineros en el navegador. Pero los piratas informáticos utilizan todas las formas posibles para eludir adblockers .
  • Utilice una suite de seguridad de Internet confiable con una característica anti-cryptojacking a bordo.
  • Se recomienda utilizar un servicio de VPN confiable cuando se conecte a redes desconocidas ya que los delincuentes mineros a menudo van de la mano con keyloggers y otro malware.
  • Mantenga su sistema operativo actualizado para asegurarse de que las vulnerabilidades conocidas estén parcheadas y los delincuentes cibernéticos no puedan explotarlas para inyectar a un minero de forma imperceptible.

Los webmasters deben considerar la adopción de las siguientes combinaciones de técnicas para asegurarse de que sus sitios no incluyan scripts de criptoapago más allá de su conocimiento:

  • SRI (Subresource Integrity) es un mecanismo de seguridad que verifica que el contenido cargado en los sitios no haya sido modificado por un tercero. Así es como funciona. El propietario de un sitio web especifica un hash para un script en particular. Si este hash y el proporcionado por la red de entrega de contenido correspondiente no coinciden, la característica SRI rechaza automáticamente el script deshonesto.
  • CSP (Política de seguridad de contenido) es un estándar de seguridad que hace obligatorio que todas las secuencias de comandos en un sitio web tengan asignado un hash de SRI. La fusión de SRI y CSP impide que los widgets comprometidos se ejecuten en un sitio web y, por lo tanto, detiene la criptografía no autorizada en sus pistas.

Línea de fondo

No hay nada ilegal acerca de la criptoexcavación como tal. Sin embargo, se convierte en un delito grave cuando alguien usa las computadoras de otras personas para extraer monedas digitales sin su conocimiento y consentimiento. La minería en el navegador es una buena forma para que los propietarios de sitios web moneticen su tráfico, pero también es un atractivo para los delincuentes. Como demostraron los incidentes de BrowseAloud y LiveHelpNow, los widgets del sitio son frutas fáciles de obtener que pueden explotarse para la captura de cripto en una escala masiva.

El autor, David Balaban, es un investigador de seguridad informática con más de 15 años de experiencia en análisis de malware y evaluación de software antivirus.

Síguenos en Telegram .
Anuncio

Lee mas

Por admin

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.