Milhares de sites em todo o mundo de vários tópicos
minaram a criptomoeda Monero por várias horas sem o conhecimento de seus próprios administradores e visitantes do site. O problema é que um plugin chamado
Browsealoud , criado por Texhelp, foi infectado com um cryptominer. O plug-in foi desenvolvido para pessoas com problemas de visão, lê automaticamente o texto da tela para os usuários que não veem, ou veem, mas são mal.
O plug-in foi hackeado e desconhecido enquanto os invasores baixavam o código do minerador de criptomoedas Monero. O mineiro é bem conhecido - este é o Coinhive, que é popular entre os “crackers de criptografia”. Ontem, milhares de sites com um plug-in comprometido por várias horas ganharam criptomoeda para atacantes. O número total de sites afetados por hackers totalizou
4200 endereços .
Isso inclui muitos sites do governo dos EUA, recursos do governo britânico e austríaco e outros. Manchester.gov.uk, NHSinform.scot, agricultural.gov.ie, Croydon.gov.uk, ouh.nhs.uk, legislação.qld.gov.au - apenas uma pequena fração dos sites infectados pelo mineiro. A rede preservou as páginas "limpas" no cache,
sem um mineiro e com
ele . O script em si só funciona quando o usuário abre uma página com ele. Você não pode infectar seu PC - aqui o cálculo é precisamente para mineração com a ajuda de visitantes de vários recursos.
Curiosamente, o código incorporado foi ofuscado, mas a proteção não é muito boa. Quando traduzido para ASCII, o script mostra todos os seus segredos.
Pela primeira vez, o código do minerador foi descoberto pelo consultor de segurança de rede Scott Helm, após o qual a infecção de muitos sites foi confirmada pelo recurso The Register. O consultor e outros especialistas aconselham os proprietários do site a usar uma tecnologia especializada chamada SRI (Subresource Integrity). A tecnologia impede que usuários mal-intencionados infectem sites injetando algum código.
Se nenhuma ação for tomada, ninguém estará protegido das ações dos crackers. O fato é que uma enorme quantidade de recursos usa plug-ins, extensões, interfaces e temas de terceiros. Se a versão original de qualquer uma das opções acima contiver código incorporado, ela se espalhará gradualmente para todos os recursos que usam elementos emprestados.
Bem, o SRI usa a verificação da autenticidade do código. Se algo estiver errado, o script infectado não será carregado.
Depois que o hack ficou conhecido, o Texthelp anunciou que já havia removido o código malicioso do plug-in, então agora ninguém terá problemas. Além disso, o plug-in já está protegido contra infecções do tipo usado no caso atual. Portanto, no futuro, o mesmo plug-in pode ser usado sem problemas (é claro, até que alguém descubra outra vulnerabilidade e tire vantagem dela).
No Twitter, os representantes da empresa disseram que os especialistas começaram a resolver o problema assim que descobriram. "Nosso serviço de inicialização foi temporariamente interrompido durante a investigação." A empresa também afirmou que o problema foi resolvido tão rapidamente porque a Texthelp tem um plano para lidar com o hack desde o ano passado. Este plano é atualizado e testado regularmente no modo de treinamento.
Além de resolver o problema, a empresa conseguiu obter o fato de que os dados do usuário (ou seja, usuários do plugin) não foram roubados ou perdidos. Tudo está em seu lugar.
Quanto ao próprio mineiro, nem sempre é instalado pelos atacantes. Às vezes, criadores / administradores de sites fazem isso. Por exemplo, há pouco tempo, a equipe de rastreadores ThePirateBay instalou o mesmo minerador nas páginas de recursos, após o que os fundos começaram a ser enviados à carteira de “piratas”. A situação foi percebida apenas porque na primeira (mas não na última) vez em que o ThePirateBay agiu dessa maneira, o mineiro consumiu uma grande quantidade de recursos do PC do usuário, devido aos quais os processos eram extremamente lentos.