CoinHive ha abusado de URL Shortener para extraer criptomoneda en secreto
Los investigadores de seguridad han estado advirtiendo acerca de una nueva campaña maliciosa que aprovecha un esquema alternativo para extraer criptomonedas sin inyectar directamente el infame JavaScript de CoinHive en miles de sitios web pirateados.
Coinhive es un popular servicio basado en navegador que ofrece a los propietarios de sitios web incrustar código JavaScript que utiliza la potencia de CPU de los visitantes de su sitio web para extraer la criptomoneda Monero para la monetización.
Sin embargo, desde su inicio, a mediados de 2017, los ciberdelincuentes han abusado del servicio para ganar dinero ilegalmente al inyectar su propia versión del código JavaScript de CoinHive a una gran cantidad de sitios web pirateados, engañando a sus millones de visitantes con monedas Monero sin saberlo.
Dado que muchas firmas de seguridad de aplicaciones web y compañías de antivirus ahora han actualizado sus productos para detectar la inyección no autorizada de CoinHive JavaScript, los ciberdelincuentes ahora han comenzado a abusar de un servicio diferente de CoinHive para lograr lo mismo.
Además del minero de JavaScript incrustado, CoinHive también tiene un servicio de "acortador de URL" que permite a los usuarios crear un enlace corto para cualquier URL con un retraso para que pueda minar la criptomoneda monero por un momento antes de redirigir al usuario a la URL original.
Según los investigadores de seguridad de Malwarebytes, una gran cantidad de sitios web legítimos han sido pirateados para cargar URL cortas sin saberlo, generadas mediante CoinHive, dentro de un iFrame HTML oculto, en un intento de forzar a los navegadores de visitantes a generar criptomonedas para los atacantes.
Los piratas informáticos inyectan URL cortas de Coinhive en sitios pirateados
Coinhive es un popular servicio basado en navegador que ofrece a los propietarios de sitios web incrustar código JavaScript que utiliza la potencia de CPU de los visitantes de su sitio web para extraer la criptomoneda Monero para la monetización.
Sin embargo, desde su inicio, a mediados de 2017, los ciberdelincuentes han abusado del servicio para ganar dinero ilegalmente al inyectar su propia versión del código JavaScript de CoinHive a una gran cantidad de sitios web pirateados, engañando a sus millones de visitantes con monedas Monero sin saberlo.
Dado que muchas firmas de seguridad de aplicaciones web y compañías de antivirus ahora han actualizado sus productos para detectar la inyección no autorizada de CoinHive JavaScript, los ciberdelincuentes ahora han comenzado a abusar de un servicio diferente de CoinHive para lograr lo mismo.
Además del minero de JavaScript incrustado, CoinHive también tiene un servicio de "acortador de URL" que permite a los usuarios crear un enlace corto para cualquier URL con un retraso para que pueda minar la criptomoneda monero por un momento antes de redirigir al usuario a la URL original.
Según los investigadores de seguridad de Malwarebytes, una gran cantidad de sitios web legítimos han sido pirateados para cargar URL cortas sin saberlo, generadas mediante CoinHive, dentro de un iFrame HTML oculto, en un intento de forzar a los navegadores de visitantes a generar criptomonedas para los atacantes.
Los piratas informáticos inyectan URL cortas de Coinhive en sitios pirateados
Este esquema de minería no autorizado que funciona sin inyectar directamente el JavaScript de CoinHive fue detectado inicialmente por investigadores en Sucuri a fines de mayo.
Los investigadores de Malwarebytes creen que los sitios web pirateados que descubrieron son parte de la misma campaña maliciosa descubierta por los investigadores de Sucuri.
Según los investigadores, los piratas informáticos agregan un código JavaScript oculto en sitios web pirateados, que dinámicamente inyecta un iframe invisible (1 × 1 píxel) en la página web tan pronto como se carga en el navegador web del visitante.
Dado que el acortador de URL carga usando el iFrame oculto es invisible, notarlo en una página web será bastante difícil. La página web infectada comienza a extraer automáticamente hasta que el servicio de enlace corto de Coinhive redirige al usuario a la URL original.
Sin embargo, dado que el tiempo de redirección del enlace corto se puede ajustar a través de la configuración de Coinhive (utilizando el valor hash), los atacantes fuerzan a los navegadores web de los visitantes a extraer criptomonedas continuamente durante un período más prolongado.
"De hecho, aunque la configuración predeterminada de Coinhive está configurada en 1024 hashes, esta requiere 3,712,000 antes de cargar la URL de destino", dijo Jérôme Segura, investigador de seguridad en Malwarebytes.
Además, una vez que se ha alcanzado el número requerido de hash, el enlace detrás de las URL cortas redirige al usuario a la misma página en un intento de iniciar el proceso de minería una vez más, donde el visitante del sitio engañaría pensando que la web la página solo se ha actualizado.
Crooks también intenta convertir su PC en esclavo cripto-minero
Además del iFrame oculto, los investigadores han descubierto que los ciberdelincuentes también están inyectando hipervínculos a otros sitios web pirateados con el fin de engañar a las víctimas para que descarguen software malicioso de criptomoneda para escritorios que se disfrazan como versiones legítimas del software.
"En esta campaña, vemos una infraestructura utilizada para impulsar a los mineros de XMRig a los usuarios engañándolos para que descarguen los archivos que estaban buscando en línea", dijeron los investigadores.
"Mientras tanto, los servidores pirateados tienen instrucciones de descargar y ejecutar un minero de Linux, generando ganancias para los perpetradores pero incurriendo en costos para sus propietarios".
La mejor manera de protegerse de la minería ilegal de criptomonedas en el navegador es usar una extensión de navegador, como minerBlock y Sin Monedas, que están diseñadas específicamente para impedir que los servicios de minería populares utilicen los recursos de su computadora.
Seguir en twitter: @disoftin
Fuente: https://thehackernews.com/