Este incidente de segurança foi identificado na quarta-feira por Troy Mursch, um investigador no Bad Packet Report. Para não variar, foi encontrado um payload malicioso embebido no código fonte do website. CoinHive como API e Monero como moeda criptográfica foi mais uma vez a escolha dos atacantes — isto é, para não variar.
O CoinHive tem sido a API mais popular, e a mais usada pelos hackers de forma a engendrar esquemas maliciosos para minerar cryptocurrency. Como é uma API baseada em JavaScript, o processo de mining é executado do lado do cliente, e isso faz com que o seu poder de processamento, e a sua eletricidade seja usada — sem consentimento — neste tipo de esquemas.
Troy Mursch estima que este payload malicioso tenha permanecido escondido desde o dia 9 de fevereiro no website.
Mursh disse ainda que, encontrou este problema de segurança ao explorar um balde na AWS S3 mal configurado, e que permitia a qualquer indivíduo escrever código para posteriormente executá-lo.
O LA Times não emitiu ainda qualquer comunicado.
#Coinhive found on @latimes “The Homicide Report”
Luckily this case of #cryptojacking is throttled and won’t murder your CPU.
Using @urlscanio we find Coinhive hiding in:
http://latimes-graphics-media.s3.amazonaws[.]com/js/leaflet.fullscreen-master/Control.FullScreen.js pic.twitter.com/VOv5ibUtwJ— Bad Packets Report (@bad_packets) February 21, 2018
Mursch disse que notificou o LA Times por e-mail sobre o malware e aconselhou-os a remover o código o mais rápido possível.
I’ve notified the @latimes about the #cryptojacking malware and advised them to remove it ASAP.
Thanks to #PRTG we’ll be notified as soon as they remove it. pic.twitter.com/adb4l79oGC
— Bad Packets Report (@bad_packets) February 21, 2018
Para evitar esses tipos de incidentes, Mursch recomendou as empresas a auditarem corretamente os seus serviços na Cloud e a configurem algum tipo de monitorização para todos os seus serviços.
Nem por acaso, a AWS lançou uma funcionalidade agregada ao seu serviço AWS Trust Adviser para deteção de “misconfiguration” em buckets do S3.