Descubren a Coinhive implementada en miles de sitios web gubernamentales

El minado de criptodivisas se ha convertido en la actividad cibercriminal de moda, o al menos lo es en apariencia. En anteriores ocasiones informamos sobre la implementación de Coinhive (una biblioteca de JavaScrpt para minar Monero en los ordenadores de los usuarios finales) en The Pirate Bay, aunque el sitio web de descargas la emplea de forma consciente, transparente y como medio alternativo de monetización.

Sin embargo, los cibercriminales han visto un filón en el secuestro de ordenadores ajenos para minar criptodivisas, por lo que posteriormente se vio a Coinhive implementada en sitios web maliciosos e incluso en aplicaciones de Android. Más recientemente, se ha detectado su utilización en sitios web gubernamentales oficiales después de que estos fueran hackeados para introducirles la mencionada biblioteca.

Al parecer, los hackers han explotado un plugin de terceros llamado Browsealoud, el cual está creado para mejorar la accesibilidad de personas ciegas o con visión limitada a los contenidos de un sitio web mediante la transformación de texto en audio. Tras atacar una versión de Browsealoud comprometida, los hackers introducían en los servidores Coinhive para minar Monero en los ordenadores de los usuarios finales (los que utilizan los navegadores web). Se han detectado más de 4.000 sitios web afectados, entre los que se encuentran el de la NHS, Student Loan Company, el observador de protección de datos de la Oficina del Comisionado de la Información, el perteneciente a la legislación de Queensland (Australia), el del sistema judicial de Estados Unidos, The City University of New York, el portal de información judicial Tío Sam, el oficial de la localidad inglesa de Manchester y muchos más.

En anteriores ocasiones los hackers se dedicaban sobre todo a esparcir troyanos y ransomware mediante vías como la expuesta en el párrafo anterior, pero en los últimos tiempos se ha popularizado la utilización de mineros porque permiten a los cibercriminales obtener ingresos con tan solo utilizar CPU ajenas, además que este tipo de ataques, al no provocar ningún daño perceptible, pueden terminar pasando desapercibidos a ojos de muchas personas, que como mucho notarán una disminución en el rendimiento derivado del uso intensivo de la CPU realizado por el minero.

El esparcimiento de Monero mediante sitios web gubernamentales y oficiales fue descubierto por el consultor británico Scott Helme, quien dio la alarma después de que uno de sus amigos recibiera una alerta de su antimalware al visitar un sitio web perteneciente al gobierno de Reino Unido. Tras esto, Texthelp, operador de Browsealoud, decidió cerrar su servicio hasta resolver el problema descubierto. Las implementaciones del plugin también fueron eliminadas por cuestiones de seguridad.

Los desarrolladores de Textaloud han dicho que la explotación de su plugin no ha derivado en ningún caso en el acceso o pérdida de datos por parte de los sitios web gubernamentales u oficiales, que a fin de cuentas son sus clientes, y que estos recibirán en un futuro próximo una actualización después de que se haya llevado a cabo una investigación a fondo sobre lo ocurrido.

Fuente: The Hacker News