Más de 4.000 webs de habla inglesa, muchas de ellas de organismos públicos, han resultado afectadas por un ataque informático destinado a generar moneros, una criptomoneda similar al bitcoin. La criptomoneda necesita ser validada por cientos de usuarios que, como premio, reciben una nueva unidad (que es “descubierta”, no creada) cada cierto tiempo según unos algoritmos que hacen el proceso cada vez más difícil. Por eso, el minado, que es como se conoce este proceso, requiere cada vez más potencia de cálculo (se suelen usar tarjetas gráficas) y costoso. Ahora, una banda de delincuentes ha descubierto el modo de utilizar máquinas ajenas para distribuir estos procesos a través de un malware llamado Coinhive que se distribuye desde webs infectadas.
El mecanismo de infiltración utilizado parece haber sido un fallo en una extensión (plugin) para web que permite que la página sea accesible para los ciegos y discapacitados visuales a través de la lectura del texto. El plugin, llamado Browsealoud, traduce el texto a voz gracias a varias librerías de software que han sido alteradas por los delincuentes. El software podría haber infectado ordenadores particulares que también habrían pasado a ser parte de la red de minado. La cifra de 4.000 webs son las que tienen instalado el plugin, pero las víctimas reales podrían no corresponder con esas páginas porque una web infectada puede propagar el malware a otros ordenadores.
AYUNTAMIENTOS Y ORGANISMOS PÚBLICOS
La alerta ha saltado este fin de semana en el Reino Unido gracias a un investigador de seguridad llamado Scott Helme y los investigadores han optado, en principio, por desactivar el plugin, desconectar máquinas y borrar malware, o bloquear los ataques sucesivos con una nueva técnica de identificación llamada SRI. Entre las páginas afectadas figuran varias de la administración británica, como la del organismo de protección de los consumidores ICO, el ayuntamiento de Manchester, el de Dublín, la web del Shakespeare Globe, varios hospitales y también la de la City University of New York (EEUU) y el ayuntamiento de Malmo (Suecia).
El responsable es un malware llamado Coinhive, que fue descubierto el pasado septiembre y que ha ido difundiéndose desde entonces. El hecho de que haya contaminado un plugin tan popular como el Browsealoud le ha permitido una difusión extrema.
4% DE LAS INFECCIONES EN ESPAÑA
En España, según los informes de Checkpoint sobre los últimos siete días, supondría el 4% de los ataques de malware, un porcentaje mucho más alto que el de los vecinos como Francia, Italia o Reino Unido, que estaban en el 1% antes de este último ataque. El malware Coinhive, según la misma empresa, está afectando el 4% de las empresas del mundo, con puntas como EEUU, donde llega al 22% y Brasil, que supone el 18%.
Si no tiene un antivirus, el usuario notará la infección del malware cuando el ordenador comience a ir más lento al visitar una página, porque Coinhive llega a consumir hasta el 65% del uso del procesador. Mientras, alguien se lleva a su cuenta las criptomonedas que puedan generarse con tanto uso de muchas máquinas.
Sophos advierte que el malware puede afectar también a los móviles, calentando en exceso el dispositivo y disminuyéndole la batería de forma muy rápida.
