Miles de sitios en todo el mundo sobre diversos temas han
extraído la criptomoneda Monero durante varias horas sin el conocimiento de su propia administración y visitantes del sitio web. El problema es que un complemento llamado
Browsealoud , creado por Texhelp, fue infectado con un cryptominer. El complemento está diseñado para personas con problemas de visión, lee automáticamente el texto de la pantalla para aquellos usuarios que no ven nada o no ven, pero no lo hacen.
El complemento fue pirateado y desconocido para él mientras los atacantes descargaban el código del minero de criptomonedas Monero. El minero es bien conocido: se trata de Coinhive, que es popular entre los "crackers de cifrado". Ayer, miles de sitios con un complemento comprometido durante varias horas ganaron criptomonedas para los atacantes. El número total de sitios que fueron afectados por la piratería ascendió a
4200 direcciones .
Estos incluyen muchos sitios del gobierno de EE. UU., Recursos del gobierno de Reino Unido y Austria, y otros. Manchester.gov.uk, NHSinform.scot, Agriculture.gov.ie, Croydon.gov.uk, ouh.nhs.uk, lawys.qld.gov.au, solo una pequeña fracción de los sitios que fueron infectados por el minero. La red ha conservado ambas páginas "limpias" en el caché,
sin un minero , y con
él . El script solo funciona cuando el usuario abre una página con él. No puede infectar su PC: aquí el cálculo es precisamente para la minería con la ayuda de visitantes de diversos recursos.
Curiosamente, el código incrustado se ofuscó, pero la protección no es muy buena. Cuando se traduce a ASCII, el script muestra todos sus secretos.
Por primera vez, el consultor de seguridad de la red Scott Helm descubrió el código minero, después de lo cual la infección de muchos sitios fue confirmada por el recurso The Register. El consultor y otros especialistas aconsejan a los propietarios de sitios que utilicen una tecnología especializada llamada SRI (Subresource Integrity). La tecnología evita que usuarios malintencionados infecten sitios web mediante la inyección de algún código.
Si no se toman medidas, nadie está protegido de las acciones de los crackers. El hecho es que una gran cantidad de recursos utiliza complementos, extensiones, interfaces y temas de terceros. Si la versión original de cualquiera de los anteriores contiene código incrustado, se extenderá gradualmente a todos los recursos que utilizan elementos prestados.
Bueno, SRI usa la verificación de la autenticidad del código. Si algo está mal, el script infectado no se cargará.
Después de que se conoció el hack, Texthelp anunció que ya había eliminado el código malicioso de su complemento, por lo que ahora nadie tendrá problemas. Además, el complemento ya está protegido contra infecciones del tipo que se utilizó en el caso actual. Por lo tanto, en el futuro, se puede usar el mismo complemento sin ningún problema (por supuesto, hasta que alguien descubra otra vulnerabilidad y la aproveche).
En Twitter, los representantes de la compañía dijeron que los especialistas comenzaron a resolver el problema tan pronto como se enteraron. "Nuestro servicio de arranque se detuvo temporalmente durante la investigación". La compañía también declaró que el problema se resolvió tan rápido porque Texthelp tiene un plan para lidiar con el ataque desde el año pasado. Este plan se actualiza y prueba regularmente en modo de capacitación.
Además de resolver el problema, la compañía logró lograr el hecho de que los datos de los usuarios (es decir, los usuarios del complemento) no fueron robados ni perdidos. Todo está en su lugar.
En cuanto al minero, no siempre lo instalan los atacantes. A veces los creadores / administradores del sitio hacen esto. Por ejemplo, no hace mucho tiempo, el equipo de seguimiento de ThePirateBay instaló el mismo minero en las páginas de recursos, después de lo cual los fondos comenzaron a enviarse a la billetera "piratas". La situación se notó solo porque la primera (pero no la última) vez, cuando ThePirateBay actuó de esta manera, el minero consumió una gran cantidad de recursos de la PC del usuario, por lo que los procesos fueron extremadamente lentos.