Consiguen utilizar un favicon.ico para minar criptomonedas simplemente con visitar una página web

Escrito por Rubén Velasco

Los scripts de minado de criptomonedas son una de las amenazas informáticas más recientes y más molestas que nos podemos encontrar en la red. A diferencia del malware habitual basado en un fichero, estos scripts, normalmente programados en JavaScript se ocultan en las páginas web y, en cuanto el usuario accede a ellas, ponen la CPU al 100% y empiezan a minar distintas criptomonedas a costa del hardware, y la luz, del usuario. No conformes con este tipo de scripts, los piratas informáticos han querido ir más allá, y ahora han conseguido utilizar el fichero favicon.ico, el icono de las webs, para minar criptomonedas como si fuese un script.

Tal como podemos leer en Twitter, este investigador, al intentar visitar una página web, se ha encontrado con que su ordenador se ponía al 100%. Lo primero que sospechamos hoy en día es que esta web oculta un script de minado de coinhive, o similar. Sin embargo, un análisis en detalle de los ficheros de dicha web nos muestra cómo el código JavaScript malicioso en realidad se está escondiendo dentro del fichero “favicon.ico” de la web.

Es curioso ver cómo un navegador web es capaz de cargar un archivo de extensión .ICO, que en realidad es un código JavaScript, como si se tratase de un script sin detectar nada extraño. Tras analizar y descodificar dicho fichero, otros usuarios que han respondido en el mismo hilo de Twitter han demostrado cómo, efectivamente, se trata de un script de Coinhive utilizado para minar criptomonedas a costa del usuario, script igual al que encontramos en otras webs.

Como podemos ver, los piratas informáticos cada vez ponen más difícil la detección y el bloqueo de esta amenaza. Lo que tampoco es normal es que los navegadores web ejecuten como un Javascript un fichero ICO que debería ser una imagen.

Cómo protegernos de los scripts de minado de criptomonedas ocultos en el favicon de las webs

Cuando estos scripts eran script como tal no había mucho problema para bloquearlos, ya que mismamente instalando una extensión en el navegador se detectaba y bloqueaba el código malicioso. Sin embargo, al estar en esta ocasión ocultos en el fichero favicon, y además ofuscados, son más complicados de detectar.

Por ello, lo mejor que podemos hacer en este caso es instalar el script “Halt and Block Mining“, creado por nosotros, de manera que podamos añadir al fichero hosts de nuestro sistema las webs utilizadas para minar criptomonedas sin permiso de manera que se bloquee la conexión con todas ella y, por lo tanto, estas amenazas no funcionan, ni desde scripts ni desde el favicon ni desde un malware convencional.

¿Qué opinas de esta nueva amenaza oculta en los favicon de las webs?

Últimos análisis

Valoración RZ
10
Valoración RZ
10
Valoración RZ
9
Valoración RZ
6
Valoración RZ
8
Valoración RZ
10
Valoración RZ
10
Valoración RZ
9