Secuestran CoinHive para minar criptomonedas en miles de webs

Secuestran CoinHive para minar criptomonedas en miles de webs

Rubén Velasco

En los últimos meses, el valor de las criptomonedas ha crecido exponencialmente, por lo que el interés en minarlas y comercializar con ellas también ha crecido. Esto ha hecho que los piratas informáticos también pongan el ojo en estas criptomonedas y, como es costumbre, intenten hacerse con ellas, ya sea utilizando malware de minado de criptomonedas, robando monederos y bases de datos e incluso atacando plataformas, como CoinHive, con el fin de que todas las ganancias del minado vayan directamente a ellos.

ConHive es una de las plataformas más polémicas de los últimos tiempos. Mientras que cada vez los usuarios se interesan más en el minado de criptomonedas, esta plataforma permite a los administradores de páginas web más codiciosos implementar en ellas una serie de scripts que mine estas criptomonedas en los ordenadores de los usuarios en segundo plano, sin permiso, con solo acceder a la página web.

Empezando por The Pirate Bay, cada vez son más los desarrolladores que utilizan esta plataforma, por lo que los piratas informáticos no han tardado en ponerla en su punto de mira. Y finalmente ha caído.

Tal como podemos leer en Bleeping Computer, un grupo de piratas informáticos ha conseguido secuestrar el servidor DNS de CoinHive (Cloudflare) y cambiar los registros para que todas las ganancias de la plataforma fueran a caer en manos del pirata informático en cuestión.

El script modificado de CoinHive ha estado 6 horas ejecutándose en los ordenadores de los usuarios que visitan las webs con el minado activado

Lo que hace esta plataforma es cargar un script, «https://coin-hive[.]com/lib/coinhive.min.js», de forma automática en los usuarios que visiten una determinada página web. Cuando los piratas informáticos han modificado el servidor DNS, este nuevo apuntaba a otro servidor diferente que cargaba una versión modificada del script con otra clave para que todo el dinero fuera a otro monedero, controlado por los piratas.

Como resultado, miles de sitios web que ahora cuentan con este script en su interior han estado cargando, durante más de 6 horas, un script modificado en los sistemas de sus visitantes y minando Monero que, directamente, se enviaba a los piratas informáticos.

Los responsables de CoinHive ya han solucionado el problema y han implementado medidas adicionales, como la autenticación en dos pasos, para evitar que vuelva a ocurrir.

Un ataque informático que podía haber sido mucho peor

Tal como han asegurado los responsables de CoinHive, este ataque no ha ido a más. Los scripts modificados solo cambiaban la clave privada del monedero por otra, pero lo demás era todo igual. Sin embargo, esto podía haber sido mucho más peligroso.

¿Qué hubiera pasado si el pirata informático hubiera cambiado por completo el script para ejecutar en la memoria un troyano o un ransomware nuevo e indetectable? El alcance de esto hubiera sido catastrófico, y todo causado por la avaricia de algunos administradores de páginas web que han empezado a aprovecharse de los recursos de sus visitantes para minar estas criptomonedas sin permiso.

Los responsables de esta plataforma han asegurado que las contraseñas de sus usuarios no se han visto tampoco comprometidas, por lo que no hay más peligro. El problema solo ha sido el cambio de DNS, nada más.

Para evitar que las webs minen criptomonedas sin permiso, os recomendamos seguir alguno de los artículos que os dejamos a continuación.

¿Qué opinas de este ataque informático? ¿Crees que CoinHive es un arma de doble filo?