Este incidente de segurança foi identificado na quarta-feira por Troy Mursch, um investigador no Bad Packet Report. Para não variar, foi encontrado um payload malicioso embebido no código fonte do website. CoinHive como API e Monero como moeda criptográfica foi mais uma vez a escolha dos atacantes — isto é, para não variar.
O CoinHive tem sido a API mais popular, e a mais usada pelos hackers de forma a engendrar esquemas maliciosos para minerar cryptocurrency. Como é uma API baseada em JavaScript, o processo de mining é executado do lado do cliente, e isso faz com que o seu poder de processamento, e a sua eletricidade seja usada — sem consentimento — neste tipo de esquemas.
Troy Mursch estima que este payload malicioso tenha permanecido escondido desde o dia 9 de fevereiro no website.
Mursh disse ainda que, encontrou este problema de segurança ao explorar um balde na AWS S3 mal configurado, e que permitia a qualquer indivíduo escrever código para posteriormente executá-lo.
O LA Times não emitiu ainda qualquer comunicado.
#Coinhive found on @latimes “The Homicide Report”
Luckily this case of #cryptojacking is throttled and won’t murder your CPU.
Using @urlscanio we find Coinhive hiding in:
http://latimes-graphics-media.s3.amazonaws[.]com/js/leaflet.fullscreen-master/Control.FullScreen.js pic.twitter.com/VOv5ibUtwJ— Bad Packets Report (@bad_packets) February 21, 2018
Mursch disse que notificou o LA Times por e-mail sobre o malware e aconselhou-os a remover o código o mais rápido possível.
I’ve notified the @latimes about the #cryptojacking malware and advised them to remove it ASAP.
Thanks to #PRTG we’ll be notified as soon as they remove it. pic.twitter.com/adb4l79oGC
— Bad Packets Report (@bad_packets) February 21, 2018
Para evitar esses tipos de incidentes, Mursch recomendou as empresas a auditarem corretamente os seus serviços na Cloud e a configurem algum tipo de monitorização para todos os seus serviços.
Nem por acaso, a AWS lançou uma funcionalidade agregada ao seu serviço AWS Trust Adviser para deteção de “misconfiguration” em buckets do S3.
Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.
Read more here.