Infección de Sitios Web por Cryptojacking
Los hackers han infectado más de 3,500 sitios web con scripts de criptominería sigilosos que secuestran silenciosamente los navegadores de los visitantes para generar Monero, una criptomoneda centrada en la privacidad diseñada para dificultar el rastreo de transacciones. Este malware no roba contraseñas ni bloquea archivos; en cambio, convierte los navegadores de los visitantes en motores de minería de Monero, extrayendo pequeñas cantidades de potencia de procesamiento sin el consentimiento del usuario.
«Al limitar el uso de la CPU y ocultar el tráfico en flujos de WebSocket, evitó las señales reveladoras del cryptojacking tradicional»
reveló c/side el viernes. La campaña, que sigue activa al momento de redactar este informe, fue descubierta por primera vez por investigadores de la firma de ciberseguridad c/side.
El Fenómeno del Cryptojacking
El cryptojacking, a veces escrito como una sola palabra, se refiere al uso no autorizado del dispositivo de alguien para minar criptomonedas, típicamente sin el conocimiento del propietario. Esta táctica ganó atención generalizada a finales de 2017 con el auge de Coinhive, un servicio que dominó brevemente la escena del cryptojacking antes de ser cerrado en 2019. En ese mismo año, los informes sobre su prevalencia se volvieron contradictorios, con algunos afirmando a Decrypt que no había regresado a «niveles anteriores», incluso cuando algunos laboratorios de investigación de amenazas confirmaron un aumento del 29% en ese momento.
Un Regreso Silencioso
Más de medio década después, la táctica parece estar haciendo un regreso silencioso, reconfigurándose de scripts ruidosos que agotan la CPU a mineros de bajo perfil diseñados para operar con sigilosidad y persistencia. En lugar de agotar los dispositivos, las campañas actuales se propagan silenciosamente a través de miles de sitios, siguiendo un nuevo manual que, como dice c/side, tiene como objetivo «mantenerse bajo y minar despacio».
Este cambio en la estrategia no es accidental, según un investigador de seguridad de la información familiarizado con la campaña, quien habló con Decrypt bajo condición de anonimato. El grupo parece estar reutilizando infraestructura antigua para priorizar el acceso a largo plazo y los ingresos pasivos. «Estos grupos probablemente ya controlan miles de sitios de WordPress hackeados y tiendas de comercio electrónico de campañas anteriores de Magecart», comentó el investigador a Decrypt.
Campañas de Magecart y su Relación con el Cryptojacking
Las campañas de Magecart son ataques en los que los hackers inyectan código malicioso en páginas de pago en línea para robar información de pago. «Plantar el minero fue trivial; simplemente añadieron un script más para cargar el JS ofuscado, reutilizando el acceso existente», explicó el investigador.
Sin embargo, lo que destaca, según el investigador, es cuán silenciosamente opera la campaña, lo que dificulta su detección con métodos más antiguos. «Una forma en que se detectaban los scripts de cryptojacking anteriores era por su alto uso de CPU», comentó a Decrypt. «Esta nueva ola evita eso utilizando mineros de WebAssembly limitados que se mantienen bajo el radar, limitando el uso de CPU y comunicándose a través de WebSockets.»
WebAssembly permite que el código se ejecute más rápido dentro de un navegador, mientras que WebSockets mantienen una conexión constante con un servidor. Combinados, estos permiten que un minero de criptomonedas funcione sin llamar la atención.
Objetivos de la Campaña
El riesgo no está «dirigiéndose directamente a los usuarios de criptomonedas, ya que el script no drena billeteras, aunque técnicamente podrían agregar un drenador de billeteras a la carga», comentó el investigador anónimo a Decrypt. «El verdadero objetivo son los propietarios de servidores y aplicaciones web«, añadieron.
