Foi identificado crypto-jacking no website do Los Angeles Times e que permaneceu escondido junto do código fonte. Este esquema malicioso tira partido do poder de processamento dos CPUs dos visitantes para minerar a criptomeda Monero.

Este incidente de segurança foi identificado na quarta-feira por Troy Mursch, um investigador no Bad Packet Report. Para não variar, foi encontrado um payload malicioso embebido no código fonte do website. CoinHive como API e Monero como moeda criptográfica foi mais uma vez a escolha dos atacantes — isto é, para não variar.

O CoinHive tem sido a API mais popular, e a mais usada pelos hackers de forma a engendrar esquemas maliciosos para minerar cryptocurrency. Como é uma API baseada em JavaScript, o processo de mining é executado do lado do cliente, e isso faz com que o seu poder de processamento, e a sua eletricidade seja usada — sem consentimento — neste tipo de esquemas.

Troy Mursch estima que este payload malicioso tenha permanecido escondido desde o dia 9 de fevereiro no website.

Mursh disse ainda que, encontrou este problema de segurança ao explorar um balde na AWS S3 mal configurado, e que permitia a qualquer indivíduo escrever código para posteriormente executá-lo.

O LA Times não emitiu ainda qualquer comunicado.

 

Mursch disse que notificou o LA Times por e-mail sobre o malware e aconselhou-os a remover o código o mais rápido possível.

 

Para evitar esses tipos de incidentes,  Mursch recomendou as empresas a auditarem corretamente os seus serviços na Cloud e a configurem algum tipo de monitorização para todos os seus serviços.

Nem por acaso, a AWS lançou uma funcionalidade agregada ao seu serviço AWS Trust Adviser para deteção de “misconfiguration” em buckets do S3.

AWS offers S3 bucket permissions to prevent data breaches


Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *