Utilizan URL corto de CoinHive para minar secretamente en sitios vulnerados

Unos investigadores de seguridad han estado advirtiendo acerca de una nueva campaña maliciosa que aprovecha un esquema alternativo para extraer criptomonedas sin inyectar directamente el infame JavaScript de CoinHive en miles de sitios web vulnerados.

Coinhive es un popular servicio basado en navegador que ofrece a los propietarios de sitios web incrustar código JavaScript que utiliza la potencia de CPU de los visitantes de su sitio web para extraer la criptomoneda Monero para la monetización.

Esta nueva forma de realizar el minado, permite al atacante poder inyectar código en un sitio vulnerable y así poder realizar la minería de criptomonedas sin que el dueño del sitio se de cuenta.

Como se ve en la siguiente imagen, el código javascript esta ofuscado para que el dueño del sitio no se de cuenta que se trata del típico script de CoinHive.


Como también se logra ver en el ejemplo, los atacantes ya no están llamando al típico link del javascript que realizaba la minería de coinhive, si no que están llamando a un link corto, de esos que son utilizados para abreviar las URL.

Según el sitio malwarebytes existen varios sitios web legítimos que han sido vulnerados, con estos códigos ofuscados.

"Al consultar urlscan.io, pudimos encontrar la misma clave de Coinhive activa el 7 de mayo a través de un mecanismo de redirección diferente. Hay un patrón de URI específico que indica que los sitios vulnerados se están aprovechando para realizar una redirección a un servidor a las 5.45.79 [.] 15. Esto, a su vez, crea una redirección a través de otro URI diseñado donde uno de los parámetros es el sitio de referencia, que finalmente conduce al enlace corto de Coinhive que iniciará el minero web. " Se lee en el sitio web.
Según los investigadores, los CiberDelincuentes agregan un código JavaScript oculto en sitios web vulnerados, que dinámicamente inyecta un iframe invisible (1 × 1 píxel) en la página web tan pronto como se carga en el navegador web del visitante.

Además del iFrame oculto, los investigadores han descubierto que los ciberdelincuentes también están inyectando hipervínculos a otros sitios web vulnerados con el fin de engañar a las víctimas para que descarguen software malicioso de criptomoneda para escritorio, que se disfrazan como versiones legítimas del software.

La mejor manera de protegerse de la minería ilegal de criptomonedas en el navegador es usar una extensión de navegador, como minerBlock y Sin Monedas, que están diseñadas específicamente para impedir que los servicios de minería populares utilicen los recursos de su computadora.