Según el portal de noticias británico The Register, el día de hoy 11 de noviembre de 2018, más de 4200 websites muchos de ellos gubernamentales han sido infectados por un malware que es distribuido entre sus visitantes y se usa para minar la criptomoneda Monero.

Miles de sitios web en todo el mundo, incluídos el NHS (Servicio de Salud Pública Británico) y hasta el sistema judicial del gobierno de Estados Unidos, estaban secretamente minando cripto monedas en los navegadores de los desprevenidos visitantes a estas webs.

Todos los sitios afectados tienen en común que usan un plugin bastante popular llamado Browsealoud, creado por Brit biz Texthelp, que lee páginas web para personas ciegas o con deficiencias visuales.

Al parecer este plugin contenía una vulnerabilidad que ha sido explotada por ciberdelincuentes que alteraron el código fuente de Browsealoud, para inyectar silenciosamente la librería Coinhive que mina la criptomoneda Monero en cada página web que incluye el plugin Browsealoud.

Hoy, durante varias horas, cualquiera que haya visitado un sitio que incorporaba dicho plugin ejecutó inadvertidamente este código oculto de minería en su computadora, generando dinero para los cibercriminales que infectaron todos estos websites.

Aquí se puede encontrar una lista de más de 4,200 sitios web afectados, que incluyen: la Universidad de la Ciudad de Nueva York (cuny.edu), el portal de información judicial de los EE.UU. (uscourts.gov), la Universidad de Lund (lu.se), los Préstamos para estudiantes del Reino Unido. Compañía (slc.co.uk), y el Servicio del Ombudsman Financiero (financial-ombudsman.org.uk), más una larga lista de otros websites en los dominios .gov.uk y .gov. au y muchas otras organizaciones en todo el mundo.

El código de JavaSCript que mina la criptomoneda Monero se agregó al código de Browse en algún momento entre las 0300 y las 1145 UTC: aquí hay un listado de la copia limpia de su JavaScript y la versión alterada. El código de Coinhive es detectado y detenido principalmente por paquetes de antivirus y herramientas de bloqueo de anuncios. Aunque el software de mineria de criptomoneda muere cuando se cierra la pestaña del navegador, por lo que si ha visitado uno de los sitios afectados, su computadora no debería estar infectada: el código solo se ejecuta mientras la pestaña está abierta.

El código de minería inyectada estaba ofuscado, pero cuando se convirtió de hexadecimal a ASCII, contenía todo el código JavaScript necesario para llamar a un sigiloso script de minería de Coinhive.

El código malicioso fue detectado por primera vez por un consultor de seguridad informática con sede en el Reino Unido, Scott Helme, y confirmado por el portal de noticias The Register. Él experto en seguridad recomendó a los webmasters que apliquen una técnica llamada SRI (Subresource Integrity) que atrapa y bloquea los intentos de los cibercriminales de inyectar código malicioso en los sitios web de terceros.

Casi todos los sitios web no triviales del planeta se cargan con recursos proporcionados por otras empresas u organizaciones, desde fuentes e interfaces de menú, hasta lectores de pantalla y herramientas de traducción. Si cualquiera de estos recursos externos es hackeado o manipulado para realizar acciones maliciosas, como minar criptomonedas, todos los sitios web que dependen de ese recurso comprometido acabarán por llevar el código maligno a sus páginas y a los navegadores de los visitantes.

Anuncios