Foi identificado crypto-jacking no website do Los Angeles Times e que permaneceu escondido junto do código fonte. Este esquema malicioso tira partido do poder de processamento dos CPUs dos visitantes para minerar a criptomeda Monero.

Este incidente de segurança foi identificado na quarta-feira por Troy Mursch, um investigador no Bad Packet Report. Para não variar, foi encontrado um payload malicioso embebido no código fonte do website. CoinHive como API e Monero como moeda criptográfica foi mais uma vez a escolha dos atacantes — isto é, para não variar.

O CoinHive tem sido a API mais popular, e a mais usada pelos hackers de forma a engendrar esquemas maliciosos para minerar cryptocurrency. Como é uma API baseada em JavaScript, o processo de mining é executado do lado do cliente, e isso faz com que o seu poder de processamento, e a sua eletricidade seja usada — sem consentimento — neste tipo de esquemas.

Troy Mursch estima que este payload malicioso tenha permanecido escondido desde o dia 9 de fevereiro no website.

Mursh disse ainda que, encontrou este problema de segurança ao explorar um balde na AWS S3 mal configurado, e que permitia a qualquer indivíduo escrever código para posteriormente executá-lo.

O LA Times não emitiu ainda qualquer comunicado.

 

Mursch disse que notificou o LA Times por e-mail sobre o malware e aconselhou-os a remover o código o mais rápido possível.

 

Para evitar esses tipos de incidentes,  Mursch recomendou as empresas a auditarem corretamente os seus serviços na Cloud e a configurem algum tipo de monitorização para todos os seus serviços.

Nem por acaso, a AWS lançou uma funcionalidade agregada ao seu serviço AWS Trust Adviser para deteção de “misconfiguration” em buckets do S3.

AWS offers S3 bucket permissions to prevent data breaches