Estamos na era do cripto-jacking e das criptomoedas.
Desta vez, e de uma forma massiva, os atacantes implantaram scripts Coinhive de forma a minerarem criptomedas através dos CPUs dos visitantes dos websites infetados.
Um ataque maciço atingiu milhares de sites em todo o mundo, os criminosos implantaram scripts Coinhive, forçando-os a ministrar secretamente criptografia em navegadores visitantes.
A lista é extensa, foram identificados 4275 websites, incluindo o do UK’s NHS, Information Commissioner’s Office (ICO) (ico.org.uk), UK’s Student Loans Company (slc.co.uk), The City University of New York (cundy.edu), e também o sistema judicial dos Estados Unidos.
Depois de publicados os incidentes, alguns websites estiveram indisponíveis até resolverem o comprometimento.
Mas como se sucedeu este incidente de segurança?
Foi através do plugin Browsealoud, que torna o conteúdo de um website acessível para pessoas cegas ou com doenças visuais.
E como não poderia deixar de ser, numa janela temporaria entre as 03 e 11:45 UTC, todos os websites mineraram a moeda criptográfica Monero. Esta tem sido a preferida dos hackers. Foram disponibilizadas recentemente algumas APIs de mineração via JavaScript, o que contribui para uma crescente vaga de incidentes relacionadas com a moeda digital.
Os atacantes injetaram uma versão ofuscada do código de mineração no plugin que uma vez convertido de hexadecimal de volta para ASCII permitiu carregar o código de mineração na página.
O alarme foi lançado pelo especialista em segurança Scott Helme, que foi contactado por um amigo que lhe enviou alertas do antivírus recebidos depois de visitar um site do Reino Unido (ICO).
Ummm, so yeah, this is *bad*. I just had @phat_hobbit point out that @ICOnews has a cryptominer installed on their site… 😮 pic.twitter.com/xQhspR7A2f
— Scott Helme (@Scott_Helme) February 11, 2018
O especialista sugere usar a técnica Subresource Integrity (SRI) para bloquear o código indesejado injetado nos websites.
Como foi resolvido o problema?
O Texthelp, a empresa que desenvolveu o plugin Browsealoud, removeu o código Browsealoud da Web para interromper a operação de mineração.
“In light of other recent cyber attacks all over the world, we have been preparing for such an incident for the last year and our data security action plan was actioned straight away,” said Texthelp’s chief technology officer Martin McKay in a statement.
“Texthelp has in place continuous automated security tests for Browsealoud, and these detected the modified file and as a result the product was taken offline.”
A Texthelp, disse no Twitter que não existiu qualquer comprometimento de dados.
Our Data security investigation underway at Texthelp, statement on our website: https://t.co/KEXFbmDyZE
Browsealoud was automatically removed from all our customers’ websites in response. No action needed by our customers.— Texthelp for Edu (@texthelp) February 11, 2018