El sitio de la Asociación de Comercio de EE. UU.-China está ejecutando malware de minería de cifrado

La epidemia de malware crypto-jacking está lejos de terminar, y parece que la última víctima de esta inquietante tendencia es el sitio web de la Asociación de Comercio China-Estados Unidos (USCAC).

El investigador de seguridad Troy Mursch de Bad Packets Report descubrió que el sitio web de la USCAC está infectado con un script malicioso diseñado para robar el poder de cómputo de los visitantes para subrepticiamente extraer criptomonedas.

Para el registro, la secuencia de comandos maliciosa que se encuentra en la USCAC se conoce más comúnmente como Coinhive . Esto significa que quien haya colado el guión actualmente está apostando por la popular criptomoneda anónima Monero.

Por razones de seguridad, hemos decidido no vincular directamente al sitio web afectado, ya que Mursch advierte que la página podría dirigir a los usuarios a “falsos fraudes de soporte técnico y otras descargas de malware”.

El motivo de esta infracción probablemente sea el hecho de que el sitio de USCAC se ejecuta con una versión obsoleta del sistema de administración de contenido (CMS) de Drupal. De hecho, Mursch enfatiza que el código fuente de la USCAC indica que la última vez que el sitio web recibió una actualización fue en diciembre de 2011.

Por contexto, USCAC se describe como una “comunidad de empresarios y profesionales” con 300 miembros occidentales y chinos y miles de organizaciones empresariales. Su objetivo es “mejorar la amistad y la comprensión” entre los gobiernos estadounidense y chino.

“Los sitios web que usan versiones desactualizadas de Drupal (CMS) son muy vulnerables y pueden explotarse en masa”, dijo Mursch a Hard Fork. “Desafortunadamente, encontré 115,000 sitios de Drupal que están desactualizados, algunos no se han actualizado en muchos años. Hasta ahora, hemos encontrado cientos de estos sitios afectados por ataques crypto-jacking “.

De hecho, este no es el primer sitio web del gobierno que presenta el malware de minería de criptomoneda.

A principios de este año, Mursch reveló una lista de 400 sitios web comprometidos que estaban ejecutando de manera similar las versiones desactualizadas de Drupal. La lista de páginas afectadas incluyó sitios gubernamentales de países como Estados Unidos, México, Turquía, Perú, Sudáfrica e Italia; otros ejemplos notables incluyen los sitios del gigante chino Lenovo, el fabricante taiwanés de hardware D-Link y la Universidad de California, Los Ángeles (UCLA).

Es particularmente preocupante que las instituciones bien financiadas como las anteriores no hayan podido actualizar adecuadamente sus sitios web y proteger a sus usuarios contra dichos ataques. Pero Troy insinúa que Coinhive también podría ser parcialmente responsable por el reciente brote de malware criptográfico.

Mursch le dijo a Hard Fork que antes de un informe que él y su colega investigador Brian Krebs publicaron en marzo, Coinhive solía “dejar que el abuso corriera rampante” en su plataforma. “Todavía lo hacen, pero al menos ahora pueden cortar una llave”, agregó. Desactivar una clave significa esencialmente no extraer más para el usuario de Monero que posee la clave. Sin embargo, Mursch señala que los actores maliciosos pueden solicitar fácilmente y obtener una nueva clave, lo que podría convertir el asunto en un círculo vicioso.

Mursch le dijo a Hard Fork que aún no ha reportado el problema a la USCAC, señalando que no es factible contactar a los operadores de los 115,000 sitios web afectados. En cambio, ha estado colaborando con el equipo de seguridad de Drupal y el Equipo de Respuesta a Emergencias Informáticas de los EE. UU. (CERT) para difundir el mensaje.

El consejo de Mursch es que todos los operadores de sitios web que utilizan la plataforma de contenido de Drupal se actualicen a la última versión disponible tan pronto como sea posible.

Si bien a Mursch le sigue preocupando que la epidemia de crypto-jacking haya llegado para quedarse, él aconseja que hay algunas medidas que puede tomar para protegerse: puede obtener más información al respecto aquí .

Publicado el 7 de junio de 2018 a las 10:27 UTC

Lee mas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.