Parece que no paran de surgir problemas alrededor del CMS Drupal, que tiempo atrás llegó a ser el más utilizado, pero que en la actualidad ha quedado eclipsado por WordPress, gran dominador de la web a nivel mundial.
Si anteriormente informamos sobre las diferentes versiones de Drupalgeddon, el investigador en seguridad Troy Mursch, que trabaja en Bad Packets Report, ha descubierto alrededor de 400 sitios web montados con Drupalque han sido víctimas de un ataque con el que se les ha introducido Coinhive, la conocida biblioteca en JavaScript creada para minar Monero utilizando los recursos de los ordenadores de los usuarios finales.
Sobre los sitios web afectados, no estamos hablando de portales pertenecientes a proyectos o instituciones pequeñas, sino de entidades gubernamentales, instituciones educativas y múltiples firmas tecnológicas, por lo que los cibercrminales han podido hacer uso de los recursos de muchos ordenadores al ser sitios en teoría visitados por muchos usuarios. A nivel de instituciones se pueden mencionar la Junta Nacional de Relaciones Laborales de Estados Unidos, Lenovo, D-Link y la Universidad de California de Los Ángeles (UCLA). A nivel de gobiernos se han encontrado los de Estados Unidos, México, Perú, Sudáfrica e Italia. Mursch ha descubierto que todo el código JavaScript malicioso apunta al mismo dominio, vuuwd.com, además de la misma clave de Coinhive. Esto quiere decir que la misma persona o grupo de personas está detrás de todos los sitios web infectados con este malware.
Una vez más, desde MuySeguridad insistimos en que los mineros de criptodivisas no son en sí software malicioso, sino más bien cómo son usados. Coinhive implementa por defecto un aviso para avisar a los usuarios sobre su utilización. De hecho, hasta ha sido integrado por UNICEF en sus intentos de recaudar fondos para los niños de Bangladesh. Sin embargo, muchos hackers y sitios web eliminan la parte de la petición de consentimiento, minando directamente sin que muchas veces el usuario final se de cuenta.
El éxito de la campaña que cubrimos en esta entrada se explica en el hecho de que los mineros no provocan ningún daño visible en los sistemas afectados, mostrando como único perjuicio aparente una pérdida de rendimiento en el sistema debido al aumento en el consumo de los recursos de la CPU. Aprovechamos para recordar que el pasado mes de marzo publicamos un especial sobre qué pueden hacer las empresas contra este tipo de amenazas.