Webs de los gobiernos de EEUU y UK, afectadas por malware de minado de criptomonedas

Este pasado domingo, varios miles de webs resultaron infectadas y afectadas durante varias horas por un ataque de malware que hace que los navegadores que las visiten se dediquen a minar criptomonedas sin que se enteren sus usuarios. En total, según The Register, resultaron afectadas más de 4.200 páginas, entre las que estaban varias de los gobiernos de Estados Unidos y Reino Unido. El vehículo que utilizaron para la infección fue una herramienta de accesibilidad en forma de plugin, Browsealoud. Creada por el desarrollador de software británico Texthelp, su misión es leer en voz alta páginas web para internautas con problemas de visión.

Esta herramienta fue sustituida durante varias horas por una versión infectada que hacía que los navegadores que las visitaban minasen criptomonedas para terceros. En este caso, minaban monedas para los hackers que infectaron Browsealoud. Cuando en Texthelp se dieron cuenta del ataque, tomaron la decisión de deshabilitar la herramienta infectada mientras los ingenieros investigaban el ataque para hallar una solución. También la han retirado momentáneamente de su web. Según han manifestado los responsables de la compañía, los datos de sus clientes están a salvo, y nadie ha accedido a ellos. Tampoco han perdido datos. Por otro lado, ofrecerán más información a sus clientes cuando termine la investigación de seguridad que están realizando.

Entre las webs afectadas están la del sistema sanitario de Reino Unido, la de información sobre el sistema de salud en Escocia y la de información sobre los tribunales del gobierno de Estados Unidos. También las de la Universidad de la Ciudad de Nueva York (CUNY) y Lund (Suecia), la página de la compañía de préstamos a estudiantes de Reino Unido, la de la Oficina del Comisionado de Información de Reino Unido, la de los ayuntamientos de Croydon y Manchester, el Ministerio de Agricultura de Irlanda y varias del gobierno australiano.

El código inyectado en Browsealoud era un minador de la criptomoneda Monero, de Coinhive. Según varias investigaciones, se inyectó en el plugin en algún momento entre las 4:00 de la madrugada y las 12:45 del domingo. Al parecer, el primero que lo detectó fue un consultor de seguridad británico, Scott Helme, que aconsejó a los webmasters afectado el uso de una técnica denominada SRI (Integridad de sub-recursos), que se encarga de detectar y bloquear cualquier intento de los hackers para inyectar código malicioso en webs. Dada la enorme cantidad de página que usan en todo el mundo herramientas de terceros para añadir recursos a sus webs, es importante con contar con medidas de protección de este tipo para evitar ataques a través de ellas.

Según ha declarado Helme, «las herramientas de terceros, como esta, son claramente un objetivo prioritario desde hace algún tiempo. Hay una tecnología denominada SRI (Integridad de sub-recursos) diseñada expresamente para corregir este problema, y por desgracia parece que ninguna de las páginas afectadas lo utilizaba«. Este ataque se une a otros realizados recientemente y que tienen como objetivo utilizar los ordenadores de los afectados para minar criptomonedas para los hackers. Todo apunta a que este tipo de ataques van en aumento, a medida que sube también el comercio de criptomonedas.