Un minador de criptomonedas oculto en el mensaje para aceptar cookies
Desde hace algún tiempo podemos ver en las páginas webs un mensaje que nos indica que debemos de aceptar las cookies. Se trata de una normativa europea y los usuarios debemos de dar el consentimiento para recopilar ciertos datos. Una secuencia de comandos gratuita que ayuda a los propietarios de sitios web a mostrar pop-ups de consentimiento de cookies de la UE está eliminando un minador de criptomoneda que estaba oculto en el navegador en los sitios web que lo utilizan.
Minador de criptomonedas oculto en mensaje de cookies
El minador oculto ha salido a la luz recientemente cuando el investigador de seguridad holandés Willem de Groot lo descubrió en la página web de Albert Heijn, la cadena de supermercados más grande de los Países Bajos.
Si observamos con más profundidad los archivos de JavaScript del sitio, de Groot rastreó la infección a un archivo llamado “cookiescript.min.js”. Este archivo se carga desde cookiescript.info. Este dominio está registrado en el servicio de consentimiento de cookies, un sitio web que permite a los propietarios de páginas armar rápidamente una ventana emergente de consentimiento de cookies que se adhiere a la molesta ley de cookies de la UE.
El servicio de consentimiento de cookies genera un bloque de código que los webmasters deben incorporar en sus sitios. Uno de los archivos JavaScript de consentimiento de cookies cargados a través de este servicio contenía una copia de Crypto-Loot, un minero de Monero en el navegador.
Ha aumentado
Como sabemos, los mineros de critpomoneda es un tipo de malware que ha crecido mucho en los últimos tiempos. Muchas páginas contienen esta técnica de forma oculta. Esto provoca que nuestro equipo se ralentice mientras navegamos. En definitiva, estamos realizando una serie de fórmulas matemáticas para generar código, por lo que nuestra CPU está trabajando.
Los administradores del servicio de consentimiento de cookies parecen haber notado el minero oculto, ya que el generador de ventanas emergentes del servicio ahora ofrece una versión de este archivo que no incluye al minero Crypto-Loot.
A pesar de esto, el sitio web de consentimiento de cookies continúa cargando una versión anterior de su propio script, entregando aún el minero Crypto-Loot.
Los webmasters que descargaron los archivos de consentimiento de cookies y los alojaron localmente no se ven afectados. Los propietarios de sitios web que usan el servicio deben asegurarse de cargar una versión del script que no cargue el minero oculto.
Más de 200 webs
De Groot dice que encontró al menos 243 sitios web que implementan los scripts maliciosos utilizando el motor de búsqueda PublicWWW.
De acuerdo con el investigador de seguridad estadounidense Troy Mursch, CryptoLoot es el tercer minero de criptomonedas en navegador más utilizado en Internet, después de Coinhive y JSEcoin.
Mursch dice que encontró scripts de Coinhive desplegados en más de 30.000 sitios web, en una investigación publicada recientemente. Algunos de los sitios que implementaron Coinhive fueron dos de los dominios web de Papa John’s Pizza (para México y Ecuador).
La semana pasada, de Groot publicó una investigación en la que reveló que encontró scripts de Coinhive desplegados en 2.496 tiendas en línea. La mayoría de los sitios parecían pirateados. Esto es así ya que el 80% también albergaba malware para robar tarjetas de crédito en las páginas de pago de la tienda.
Via: www.redeszone.net