Detectan una campaña en la que se intenta ocultar la utilización del minero Coinhive

Investigadores en seguridad avisan de la existencia de una nueva campaña que se apoya en el criptominado, inyectando Coinhive y otros mineros en los sitios web hackeados.

Desde que apareció a mediados de 2017, Coinhive ha sido utilizado por muchos actores maliciosos para minar la criptodivisa Monero y así generar ingresos. Se trata de una biblioteca en JavaScript que ha sido incrustada en sitios web hackeados, sitios web maliciosos e incluso aplicaciones de Android, aprovechando la potencia de CPU que disponen los usuarios finales para el proceso de minado. A pesar de no ser de por sí un malware, el cómo está siendo utilizada ha forzado a muchos desarrolladores de soluciones antimalware a considerarla como algo malicioso en caso de detectarla. Cuando se usa de forma maliciosa no se avisa al usuario final, que solo notará una disminución el rendimiento derivado del uso de la CPU por parte de Conhive. Esto permite a los mineros maliciosos pasar inadvertidos fácilmente, empleando una estrategia que es prácticamente la contraria a la agresividad mostrada por los ransomware.

Coinhive cuenta entre sus características la posibilidad de acortar las URL, la cual permite a los usuarios crear enlaces cortos para cualquier URL para extraer criptomonedas durante un instante antes de redirigir al destino. Según cuentan los expertos de Malwarebytes, una gran cantidad de sitios web legítimos han sido hackeados para cargar URL recortadas sin saberlo, las cuales son generadas con el servicio de Coinhive e introducidas dentro de un iFrame de HTML oculto, siendo esto un intento de generar criptomonedas para los ciberdelincuentes.

El objetivo es el mismo que el del clásico minero, utilizar la potencia de CPU de los usuarios finales para generar ingresos para los cibercriminales. En el caso que nos ocupa, se introduce el código JavaScript en un iFrame de HTML apuntando a una URL recortada que ocupa en pantalla la superficie de 1×1 píxel, o sea, un píxel de ancho y otro de alto, por lo que resulta muy difícil de detectar a simple vista y forzaría a utilizar alguna herramienta para desarrolladores como la incluida en Google Chrome y otros navegadores como Firefox y los basados en Chromium. Tras pasar un instante en el iFrame se cargará el contenido al que se redirige la URL recortada.

Al ser las URL recortadas un método de redireccionamiento, podría no ser un buen método para generar muchos ingresos. Sin embargo, el servicio de Coinhive permite ajustar mediante un valor hash la cantidad de tiempo que se tiene que esperar hasta el redireccionamiento, permitiendo además configurar períodos bastante prolongados. En valor establecido por defecto es de 1024 hashes, pero para la campaña ese valor ha sido modificado a 3.712.000 antes de cargar la URL de destino.

Tras terminar el proceso, la URL recortada se encarga de dirigir al usuario a la misma página web que está visitando, dando la sensación de que ha habido un proceso de actualización. El malware realiza dicha acción con el fin de reiniciar el proceso explicado en el párrafo anterior.

Pero el tema del iFrame no es lo único que se realiza a través de esta campaña, ya que también se ha detectado la inyección de enlaces a otros sitios web hackeados que invitan al usuario a descargar aplicaciones que se hacen pasar por legítimas con un minero malicioso en su interior, concretamente XMRig, con el objetivo de minar todavía más aprovechándose de los recursos que disponen los usuarios finales.

También se ha detectado la utilización de otro minero, CNRig, descargado mediante la incrustación previa de un fichero PHP malicioso, que se encarga de minar empleando los recursos de un servidor Linux. PHP es la tecnología y lenguaje de programación a nivel de servidor web más utilizado del mundo, y que generalmente se encuentra instalado junto Apache, MySQL y Linux, de ahí que el minero apunte contra el sistema operativo Open Source.

La mejor manera que tienen los usuarios finales de defenderse de los mineros maliciosos es, además de contar con una solución antimalware que actúe contra estos, tener instalado en el navegador web extensiones como minerBlock o No Coin para bloquearlos.

Esquema de la campaña de critpominado contra usuarios finales y servidores detectada por los expertos de Malwarebytes

Fuente: The Hacker News

LEAVE A REPLY

Please enter your comment!
Please enter your name here