[Mensaje a los lectores] Troyanos con picos – The end

Saludos, señores de la guerra.

Finalmente gracias a Isaías McAllus, que me ha recomendado Wordfence y me ha dicho que el archivo jquery olía mal, he conseguido encontrar y arreglar el error.

Respecto a las preguntas del post anterior:

Respondiendo a @Dragus el troyano se mete en la página web y lo que hace es ejecutar código en el navegador que hace que se minen bitcoins, mientras esté la página abierta. Al cerrar el navegador o (en teoría) dejar la página, se cierran los procesos, por lo que el troyano no infecta el equipo de los navegantes. Al menos en la variante que se encontraba en la web.

Y para los que les interesen temás más técnicos…

No sé que vulnerabilidad habrán utilizado los hackers (dios sabe que hay muchas) pero sospecho que han aprovechado el movimiento de servidor y la falta de navegación segura durante el tiempo de traslado para realizar un cambio en el servidor.

Concretamente han usado el archivo jquery.js para introducir dentro código que cargaba las librerías de coinhive (un programa para minar criptomoneda en javascript) en el navegador y lanzaba cuatro workers que se ponían a minar.

Dicho código tampoco se lanzaba directamente. Se insertaba dentro de un objeto de blob de javascript con una url que enmascara su procedencia (por ejemplo https://cargad.com/3453-were-23423) usando una página web generada al azar cada vez. Esto hacía que al cargar un script desde el blob (que simula un archivo en javascript) pareciera que se estaba cargando como un recurso más de la página.

Además el código introducido en jquery se ejecutaba de forma indirecta, inyectando mediante el própio jquery el código. Y dicho código estaba insertado meddiante arrays de carácteres en formato utf ( \u0043 para la C, por ejemplo), haciendo que sea aún más difícil de detectar por un humano.

Por lo demás poco que añadir. Sólo decir que acostumbro a tener el servidor actualizado (ahora lo tenía), aunque sí que es cierto que varios plugins están abandonados por sus creadores y ya no tienen soporte ni actualizaciones.

Siento las molestias por todo.

Atentamente

Pater Zeo

4 comentarios en «[Mensaje a los lectores] Troyanos con picos – The end»

  1. me sumo a la felicitación.
    este tipo de malware puede ser muy fastidioso y difícil de eliminar.
    buen trabajo! 🙂

  2. Hola,

    Acabo de ver que ha aparecido un banner de publicidad sospecho en la página. Puede estar relacionado con este otro incidente de seguridad.

    Saludos

Deja una respuesta