Malware de Monero apunta a DoubleClick de Google

La situación, que afectó a varios países del mundo, y que empleaba el 80% de la potencia del CPU afectado, ya fue notificada a Google. Entre las recomendaciones para evitar el ataque, se menciona actualizar y parchear el software con regularidad

***

Trend Micro, un proveedor de software de seguridad, hardware y servicios, descubrió una campaña de publicidad maliciosa en sitios web de alto tráfico utilizada por Coinhive, un código JavaScript que permite a los administradores del sitio web minar Monero con las CPU de los visitantes.

Los atacantes acometieron contra DoubleClick de Google, que proporciona servicios de publicación de anuncios en Internet para su distribución, informó Trend Micro en su blog de inteligencia de seguridad. Además, los anuncios fallidos también usaron un minero web separado que se conecta a un grupo privado.

Trend Micro informó sus hallazgos a Google, una situación que afectó a Japón, Francia, Taiwán, Italia y España.

Trend Micro notó un aumento en el tráfico a cinco dominios maliciosos el 18 de enero, y el 24 de enero encontró un salto de cerca del 285% en el número de mineros de Coinhive. El tráfico provino de los anuncios de DoubleClick.

Scripts de Web Miner incrustados

Se incluyeron dos scripts web miner diferentes, junto con un script que muestra los anuncios de DoubleClick. La página web atacada mostraba el anuncio legítimo mientras los dos mineros web realizaban sus tareas encubiertas.

Se cree que el uso de los anuncios en sitios web legítimos es una estratagema para atacar a un mayor número de usuarios.

El tráfico conectado a estos mineros disminuyó después del 24 de enero.

El anuncio contiene un código JavaScript que crea un número aleatorio entre una y 100 variables. Cuando crea una variable por encima de 10, alerta a coinhive.min para extraer el 80% de la potencia de la CPU. Esto ocurre el 90% del tiempo. Para el otro 10%, se lanza un minero web privado. Los dos mineros fueron configurados con acelerador 0.2, lo que indica que usan el 80% de los recursos de la CPU para extraer.

Después de desactivar una mina privada conocida como mqoj_1, aún se puede identificar un código JavaScript basado en Coinhive. El minero modificado utiliza luego un grupo de minería diferente, wss [:] // ws [.] L33tsite [.] Info [:] 8443, que se emplea para evitar la comisión de Coinhive del 30%.

Los ataques se pueden prevenir

Se puede evitar que los mineros de Coinhive usen recursos de la CPU al bloquear las aplicaciones basadas en JavaScript para que no se ejecuten en navegadores, señaló el blog. El impacto del malware de criptomonedas y otras amenazas que explotan las vulnerabilidades del sistema se puede mitigar actualizando y parcheando regularmente el software.

Trend Micro Smart Protection Suites y Worry-Free Business Security protegen a las empresas y usuarios de las amenazas mediante el bloqueo de archivos maliciosos y URL relacionadas.

Fuente: Crytocoinsnews

Imagen: Pixabay

Traducción de Jacobo Villalobos para DiarioBitcoin

Advertisements

Suscríbete a nuestro boletín

* campo requerido