Hackean 400 webs para que sirvieran software de minado de criptomonedas a sus visitantes

Durante el pasado fin de semana, los visitantes de varias webs de cierto calado, entre los que estaban las de la Universidad de California en Los Ángeles, las del fabricante de ordenadores Lenovo, la del zoo de San Diego, la del Instituto de la Seguridad Social de México y las de varias alcaldías, estuvieron prestando sin saberlo una buena parte de los recursos de sus equipos a un hacker. Este había hackeado previamente dichas páginas para que sirviesen a los que las visitaban software de minado de criptomonedas, según adelanta MuySeguridad.

En efecto, según el experto en seguridad Troy Mursch, los internautas que han accedido a ellas durante el par de días que han estado hackeadas, no eran conscientes de que mientras estaban en ellas, muchos recursos de sus equipos se utilizaban para el minado de la moneda virtual Monero. La mayor cantidad de webs hackeadas estaban en Estados Unidos, país en el que se encuentran unas 123 de las páginas atacadas. Le siguen Francia, Canadá, Alemania y Rusia con, respectivamente, 36,19,18 y 17.

El hacker que atacó estas webs insertó en todas un fragmento de código JavaScript en vuuwd.com. Este código hacía que los equipos de quienes accedían a las páginas dedicasen el 80% de sus recursos al minado de criptomonedas sin permiso de los internautas. Este tipo de ataques relacionados con el minado de monedas virtuales es cada vez más habitual, y ha afectado incluso a webs de los gobiernos de EEUU y Reino Unido.

La mayoría de las webs atacadas han eliminado el ataque en las horas posteriores a la publicación del mismo, y también han protegido su página. Todas las páginas atacadas se habían creado mediante el CMS Drupal, y no estaban actualizadas, lo que permitió al atacante tomar su control a través de una vulnerabilidad denominada Drupalgeddon2, caracterizada por permitir ataques por ejecución de código de una manera muy sencilla. Drupal ya la parcheó a finales del pasado mes de marzo, pero aún quedan sitios que, por no haber sido actualizados, son vulnerables a ataques que la exploten, como el del pasado fin de semana.

Al parecer, según varias compañías de seguridad, hay redes de ordenadores y equipos conectados a Internet escaneando webs en busca de páginas vulnerables. Cuando identifican software de Drupal sin parchear, ejecutan automáticamente varios scripts que explotan la vulnerabilidad Drupalgeddon2. Porque además de instalar los que permiten el criptominado en los ordenadores de los internautas que accedan a las webs afectadas, también están instalando en ellas un malware creado para que el sistema infectado colaborase en la realización de ataques DDoS. Por todo esto, es aconsejable que cualquiera que tenga una web en Drupal que no haya actualizado todavía lo haga en cuanto pueda.

Vía | MuySeguridad