Pesquisadores de segurança têm alertado sobre uma nova campanha maliciosa que utiliza um esquema alternativo para minar criptomoedas sem injetar diretamente o infame JavaScript CoinHive em milhares de sites hackeados.
O Coinhive é um serviço popular baseado em navegador que oferece aos proprietários de sites a incorporação de código JavaScript que utiliza o poder das CPUs dos visitantes de seu site para mineração da criptomoeda Monero para monetização.
No entanto, desde a sua criação, em meados de 2017, os cibercriminosos têm abusado ilegalmente do serviço ao injetar sua própria versão do código CoinHive JavaScript em um grande número de sites hackeados, acabando enganando seus milhões de visitantes em minhas moedas Monero.
Como muitas empresas de segurança de aplicativos da Web e empresas de antivírus atualizaram seus produtos para detectar a injeção não autorizada do CoinHive JavaScript, os criminosos cibernéticos começaram agora a abusar de um serviço diferente do CoinHive para obter o mesmo.
Hackers Injetando URLs Curtas Coinhive em Sites Hackeados
Além do minerador de JavaScript embutido, o CoinHive também tem um serviço de "encurtamento de URL" que permite aos usuários criar um link curto para qualquer URL com atraso, para que ele possa minar a criptomoeda do monero por um momento antes que o usuário seja redirecionado para o URL original.
De acordo com pesquisadores de segurança do Malwarebytes , um grande número de sites legítimos foram hackeados para carregar URLs curtas, sem saber, geradas usando o CoinHive, dentro de um iFrame HTML oculto em uma tentativa de forçar os navegadores dos visitantes a gerar criptografias para atacantes.
Os pesquisadores do Malwarebytes acreditam que os sites hackeados que eles descobriram são parte da mesma campanha mal-intencionada que os pesquisadores da Sucuri descobriram.
De acordo com pesquisadores de segurança do Malwarebytes , um grande número de sites legítimos foram hackeados para carregar URLs curtas, sem saber, geradas usando o CoinHive, dentro de um iFrame HTML oculto em uma tentativa de forçar os navegadores dos visitantes a gerar criptografias para atacantes.
"Nas últimas semanas, nossos rastreadores catalogaram várias centenas de sites usando uma variedade de CMS, todos injetados com o mesmo código ofuscado que usa o shortlink da Coinhive para executar a mineração silenciosa", disse Malwarebytes.Este esquema de mineração não autorizado baseado em navegador que funciona sem injetar diretamente o JavaScript do CoinHive foi inicialmente detectado por pesquisadores da Sucuri no final de maio.
Os pesquisadores do Malwarebytes acreditam que os sites hackeados que eles descobriram são parte da mesma campanha mal-intencionada que os pesquisadores da Sucuri descobriram.
De acordo com os pesquisadores, os hackers adicionam um código javascript ofuscado em sites hackeados, que injetam dinamicamente um iframe invisível (1 × 1 pixel) na página da web, assim que é carregado no navegador da web do visitante.
Como o encurtador de URL carregado usando o iFrame oculto é invisível, notá-lo em uma página da Web será bastante difícil. A página da Web infectada inicia a mineração automaticamente até que o serviço de link curto Coinhive redirecione o usuário para a URL original.
Como o encurtador de URL carregado usando o iFrame oculto é invisível, notá-lo em uma página da Web será bastante difícil. A página da Web infectada inicia a mineração automaticamente até que o serviço de link curto Coinhive redirecione o usuário para a URL original.
No entanto, como o tempo de redirecionamento de link curto é ajustável por meio das configurações do Coinhive (usando o valor de hash), os invasores forçam os navegadores dos visitantes a minerar criptomoedas continuamente por um período mais longo.
Além do iFrame oculto, os pesquisadores descobriram que os cibercriminosos também estão injetando hiperlinks para outros sites hackeados, a fim de induzir as vítimas a fazer o download de malwares de mineração cryptocurrency para disfarces de desktops como versões legítimas do software.
"De fato, enquanto a configuração padrão do Coinhive é de 1024 hashes, este requer 3.712.000 antes de carregar o URL de destino", disse Jérôme Segura, pesquisador de segurança da Malwarebytes.Além disso, uma vez que o número necessário de hashes foi alcançado, o link por trás das URLs curtas redireciona o usuário de volta à mesma página, na tentativa de iniciar o processo de mineração mais uma vez, onde o visitante do site pensaria que a web página só foi atualizada.
Trapaceiros também tenta transformar seu PC em escravo de mineração de criptografia
Além do iFrame oculto, os pesquisadores descobriram que os cibercriminosos também estão injetando hiperlinks para outros sites hackeados, a fim de induzir as vítimas a fazer o download de malwares de mineração cryptocurrency para disfarces de desktops como versões legítimas do software.
"Nesta campanha, vemos a infra-estrutura usada para empurrar um minerador XMRig para os usuários, enganando-os para que baixem arquivos que estavam procurando online", disseram os pesquisadores.
"Enquanto isso, servidores hackeados são instruídos a baixar e rodar um minerador Linux, gerando lucros para os perpetradores, mas incorrendo em custos para seus proprietários."A melhor maneira de se proteger da mineração de criptografia ilegal no navegador é usar uma extensão de navegador, como minerBlock e No Coin, que são especificamente projetadas para impedir que serviços de mineração populares usem os recursos do seu computador.
FONTE:THEHACKERNEWS
Comentários
Postar um comentário