• +54 (011) 4323-9362

  • de Lun a Vie de 9 a 17 hs

  • ciberseguridad@ba-csirt.gob.ar

  • 07 julio
    Detectan una campaña en la que se intenta ocultar la utilización del minero Coinhive

    Expertos de seguridad advirtieron acerca de una nueva campaña maliciosa, la cual aprovecha un esquema alternativo para extraer criptomonedas, sin inyectar directamente el infame JavaScript de CoinHive en miles de sitios web vulnerados.

    Coinhive es un servicio muy conocido, basado en un navegador que le ofrece a los propietarios de sitios web incrustar código JavaScript, el cual utiliza la potencia de CPU de los visitantes de su sitio web para extraer la criptomoneda Monero para la monetización.

    Esta nueva manera de realizar el minado, le permite al ciberatacante la posibilidad de inyectar el código en un sitio vulnerable, y así poder realizar la minería de criptomonedas sin que el dueño del sitio lo note.
    El código javascript aparece de una manera confusa para el propietario de la página, para que no se de cuenta que se trata del típico script de CoinHive.

    Los ciberdelincuentes ya no están llamando al link común del javascript que realizaba la minería de coinhive, sino que lo realizan con un link corto, de esos que se utilizan para abreviar las URL.

    De acuerdo con el sitio malwarebytes, existen varios sitios web legítimos que han sido dañados, con estos códigos ofuscados.

    "Al consultar urlscan.io, pudimos encontrar la misma clave de Coinhive activa el 7 de mayo a través de un mecanismo de redirección diferente. Hay un patrón de URI específico que indica que los sitios vulnerados se están aprovechando para realizar una redirección a un servidor a las 5.45.79 [.] 15. Esto, a su vez, crea una redirección a través de otro URI diseñado donde uno de los parámetros es el sitio de referencia, que finalmente conduce al enlace corto de Coinhive que iniciará el minero web”, se lee en el sitio web.

    Según los investigadores, los ciberdelincuentes añaden un código JavaScript oculto en sitios web vulnerados, que dinámicamente inyecta un iframe invisible (1 × 1 píxel) en la página web tan pronto como se carga en el navegador web del visitante.

    Además del iFrame oculto, los expertos han descubierto que los ciberdelincuentes también están introduciendo hipervínculos a otros sitios web vulnerados, con el propósito de engañar a los usuarios para que descarguen software malicioso de criptomoneda para escritorio, simulando ser versiones legítimas del software.

    La mejor manera de protegerse de la minería ilegal de criptomonedas en el navegador es utilizar una extensión de navegador, como minerBlock y Sin Monedas, que se encuentran diseñadas específicamente para impedir que los servicios de minería populares utilicen los recursos de su computadora.

    Referencia:

    www.seguridadyfirewall.cl/2018/07/utilizan-url-corto-de-coinhive-para.html