Los mejores análisis sobre criptomonedas directamente en tu bandeja de entrada.
El criptojacking llega a los mercados, el malware minero de Monero ataca a más de 3.500 sitios
- Los investigadores informan que más de 3.500 sitios web se han visto comprometidos por un malware JavaScript sigiloso que extrae Monero sin el consentimiento del usuario.
- El malware utiliza código ofuscado, Web Workers y conexiones WebSocket para evadir la detección y desviar constantemente la energía de la CPU.
- Los atacantes de cryptojacking también apuntan a sitios de WordPress y agencias gubernamentales, incluida USAID, a través de violaciones de la cadena de suministro y basadasdent.
Los ataques de criptominado fraudulento han regresado, comprometiendo más de 3500 sitios web y secuestrando silenciosamente los navegadores de los usuarios para minar Monero, una criptomoneda centrada en la privacidad. La campaña fue descubierta el martes por la empresa de ciberseguridad c/side, casi siete años después del cierre del servicio Coinhive, que popularizó esta táctica desde 2017.
Según los investigadores de c/side, el malware se oculta en código JavaScript ofuscado que implementa silenciosamente un minero cuando los usuarios visitan un sitio infectado. Una vez que el visitante llega a la página comprometida, el script evalúa silenciosamente la potencia de procesamiento del dispositivo. Luego, lanza Web Workers paralelos en segundo plano para realizar operaciones de minería sin el consentimiento del usuario.
Al limitar el uso del procesador y enrutar la comunicación mediante flujos WebSocket, el minero evita ser detectado, ocultándose tras el tráfico normal del navegador. «El objetivo es extraer recursos con el tiempo, como un vampiro digital, de forma persistente», explicaron los analistas de c/side.
Cómo funciona el código de cryptojacking
c/side detectó un código insertado en un sitio web mediante un archivo JavaScript de terceros cargado desde https://www.yobox[.]store/karma/karma.js?karma=bs?nosaj=faster.mo. En lugar de minar Monero en la ejecución inicial, primero comprueba si el navegador del usuario es compatible con WebAssembly, un estándar para ejecutar aplicaciones con altas exigencias de procesamiento.
El código evalúa si el dispositivo es apto para la minería y activa Web Workers en segundo plano, denominados "worcy", que gestionan las tareas de minería discretamente y no interfieren con el hilo principal del navegador. Los comandos y los niveles de intensidad de la minería se insertan desde un servidor de comando y control (C2) mediante conexiones WebSocket.
El dominio de alojamiento del minero de JavaScript se ha vinculado previamente a campañas de Magecart, conocidas por robar datos de tarjetas de pago. Esto podría indicar que el grupo responsable de la campaña actual tiene antecedentes en ciberdelincuencia.
La amenaza se propaga a través de exploits de sitios web
En las últimas semanas, investigadores de ciberseguridad han descubierto varios ataques del lado del cliente en sitios web que utilizan WordPress. Los investigadores detectaron métodos de infección que integran código JavaScript o PHP malicioso en los sitios de WP.
Los atacantes han comenzado a abusar del sistema OAuth de Google al incorporar JavaScript en parámetros de devolución de llamada vinculados a URL como "accounts.google.com/o/oauth2/revoke". La redirección lleva a los navegadores a través de una carga útil de JavaScript encubierta que establece una conexión WebSocket con el servidor del atacante.
Otro método inyecta scripts mediante Google Tag Manager (GTM), que se integran directamente en tablas de la base de datos de WordPress como wp_options y wp_posts. Este script redirige silenciosamente a los usuarios a más de 200 dominios de spam.
Otros enfoques incluyen cambios en los archivos wp-settings.php de WordPress para obtener cargas útiles de archivos ZIP alojados en servidores remotos. Una vez activados, estos scripts afectan el posicionamiento SEO de un sitio y añaden contenido para mejorar la visibilidad de los sitios web fraudulentos.
En un caso, se inyectó código en el script PHP del pie de página de un tema, lo que provocó que un navegador redirigiera al usuario a sitios web maliciosos. En otro caso, se utilizó un plugin falso de WordPress, cuyo nombre hace referencia al dominio infectado, que detecta cuándo los rastreadores de motores de búsqueda visitan la página. Posteriormente, este plugin enviaba contenido spam para manipular las clasificaciones en los motores de búsqueda, aún oculto para los visitantes humanos.
C/side mencionó cómo las versiones 2.9.11.1 y 2.9.12 del plugin Gravity Forms fueron comprometidas y distribuidas a través del sitio web oficial del plugin en un ataque a la cadena de suministro. Las versiones manipuladas contactan con un servidor externo para obtener cargas útiles adicionales e intentan crear una cuenta administrativa en el sitio.
En otoño de 2024, la Agencia de los Estados Unidos para el Desarrollo Internacional (USAID) fue víctima de un ataque de criptominado después de que Microsoft alertara a la agencia sobre una cuenta de administrador comprometida en un entorno de prueba. Los atacantes utilizaron un ataque de fuerza bruta para acceder al sistema y luego crearon una segunda cuenta para realizar operaciones de minería de criptomonedas a través de la infraestructura en la nube Azure de USAID.
Las mentes más brillantes del mundo de las criptomonedas ya leen nuestro boletín. ¿Te apuntas? ¡ Únete!
Descargo de responsabilidad. La información proporcionada no constituye asesoramiento financiero. Cryptopolitande no se responsabiliza de las inversiones realizadas con base en la información de esta página. Recomendamostrondentdentdentdentdentdentdentdent inversión.
CURSO
- ¿Qué criptomonedas pueden hacerte ganar dinero?
- Cómo mejorar tu seguridad con una billetera (y cuáles realmente vale la pena usar)
- Estrategias de inversión poco conocidas que utilizan los profesionales
- Cómo empezar a invertir en criptomonedas (qué plataformas de intercambio usar, las mejores criptomonedas para comprar, etc.)