Por Vince Dioquino
3 min lectura
Los hackers han infectado más de 3.500 sitios web con scripts sigilosos de criptominería que secuestran silenciosamente los navegadores de los visitantes para generar Monero, una criptomoneda centrada en la privacidad diseñada para hacer que las transacciones sean más difíciles de rastrear.
El malware no roba contraseñas ni bloquea archivos. En cambio, convierte silenciosamente los navegadores de los visitantes en motores de minería de Monero, extrayendo pequeñas cantidades de potencia de procesamiento sin el consentimiento del usuario.
La campaña, aún activa en el momento de esta redacción, fue descubierta por primera vez por investigadores de la firma de ciberseguridad c/side.
"Al limitar el uso de la CPU y ocultar el tráfico en flujos de WebSocket, evitó los signos reveladores del cryptojacking tradicional", c/side reveló el viernes.
El Cryptojacking, a veces escrito como una sola palabra, es el uso no autorizado del dispositivo de alguien para minar criptomonedas, generalmente sin el conocimiento del propietario.
La táctica llamó la atención del público en general a finales de 2017 con el surgimiento de Coinhive, un servicio ahora desaparecido que dominó brevemente la escena del cryptojacking antes de ser cerrado en 2019.
En el mismo año, los informes sobre su prevalencia se han vuelto contradictorios, con algunos diciéndole a Decrypt que no ha regresado a los "niveles anteriores" incluso cuando algunos laboratorios de investigación de amenazas confirmaron un aumento del 29% en ese momento.
Durante más de media década, la táctica parece estar haciendo un regreso silencioso: reconfigurándose de scripts ruidosos que consumen la CPU en mineros discretos diseñados para sigilo y persistencia.
En lugar de dañar los dispositivos, las campañas actuales se propagan silenciosamente por miles de sitios, siguiendo un nuevo manual de instrucciones que, como lo describe c/side, tiene como objetivo "mantenerse bajo, minar lentamente".
Ese cambio de estrategia no es casualidad, según un investigador de seguridad de la información familiarizado con la campaña que habló con Decrypt bajo condición de anonimato.
El grupo parece estar reutilizando infraestructuras antiguas para priorizar el acceso a largo plazo y los ingresos pasivos, según lo informado por Decrypt.
"Estos grupos probablemente ya controlan miles de sitios de WordPress hackeados y tiendas de comercio electrónico de campañas pasadas de Magecart", dijo el investigador a Decrypt.
Las campañas de Magecart son ataques donde los hackers inyectan código malicioso en las páginas de pago en línea para robar información de pago.
"Plantar el minero fue trivial, simplemente agregaron un script más para cargar el JS ofuscado, reutilizando el acceso existente", dijo el investigador.
Pero lo que destaca, seún el investigador, es lo silenciosa que opera la campaña, lo que dificulta detectarla con métodos antiguos.
"Una forma en que se detectaban los scripts de cryptojacking pasados era por su alto uso de la CPU", le dijeron a Decrypt. "Esta nueva ola evita eso utilizando mineros WebAssembly limitados que pasan desapercibidos, limitando el uso de la CPU y comunicándose a través de WebSockets".
WebAssembly permite que el código se ejecute más rápido dentro de un navegador, mientras que WebSockets mantienen una conexión constante con un servidor. Combinados, permiten que un minero de criptomonedas funcione sin llamar la atención.
El riesgo no está "dirigido directamente a los usuarios de criptomonedas, ya que el script no vacía las billeteras, aunque técnicamente podrían agregar un vaciador de billeteras a la carga útil", dijo el investigador anónimo a Decrypt. "El verdadero objetivo son los propietarios de servidores y aplicaciones web", agregaron.
Decrypt-a-cookie
This website or its third-party tools use cookies. Cookie policy By clicking the accept button, you agree to the use of cookies.