Mineradores usam Cryptocurrency Exploiting em plataformas de sites em WordPress

Durante o último mês, a mídia de segurança da informação prestou muita atenção ao malware de mineração de criptografia. A equipe da HostCuritiba vem monitorando a situação, e agora estamos começando a ver ataques tentando carregar Malware de mineração e  sites no Mundo sem proteção já estão infectados.

Cryptocurrency Mining Attacks on WordPress

Para aqueles que não estão à altura, as criptografia são moedas digitais que podem atuar como uma alternativa às moedas tradicionais. Exemplos incluem Bitcoin , Litecoin , Ethereum e Monero , entre muitos outros. A mineração Cryptocurrency é um processo computacionalmente intenso que contribui para as operações da rede de criptografia ao gerar nova moeda. É preciso uma enorme quantidade de recursos de computador para gerar renda significativa. As pessoas interessadas em mineração de criptografia geralmente precisam investir em equipamentos caros e resolver o consumo de energia e o calor gerado pelo hardware.

Novas plataformas on-line surgiram que permitem aos proprietários de sites aproveitar o poder de computação dos visitantes do site para ministrar criptografia. Os proprietários do site simplesmente se inscrevem em uma conta e adicionam algum JavaScript ao seu site. A desvantagem é que a experiência de seus visitantes é provavelmente bastante pobre, já que seus recursos de computador são colocados à mão na mineração. É discutível se os visitantes do site verão essa prática de forma favorável, mas será interessante observar a tendência evoluir.

Vimos o primeiro ataque em um site do WordPress tentando incorporar código de mineração de criptografia em 17 de setembro . O volume de ataque tem sido muito baixo e pouco sofisticado até agora. No entanto, nossa Equipe de Serviços de Segurança está começando a ver sites piratados com este malware, então os atacantes estão começando a ter algum sucesso.

Os ataques que analisamos estão tentando explorar vulnerabilidades de segurança bem conhecidas que existem há muito tempo; Por exemplo, o Gravity Forms explora a partir de meados de 2016 ou o Joomla com_jce explora desde o início de 2014. Também vimos algumas tentativas de inserir código de mineração usando contas de administrador do WordPress comprometidas, bem como alguns ataques usando contas de FTP comprometidas.

Como os atacantes obtêm lucros de Cryptocurrency Mining Malware

Os atacantes estão incorporando código Javascript de Coinhive em sites que eles comprometeram. Coinhive fornece uma maneira de explorar uma criptografia conhecida como Monero.
O Monero difere de outros cryptocurrencies como o Bitcoin, na medida em que não dá aos mineiros que utilizam GPUs ou outro hardware especializado uma vantagem computacional significativa. Isso significa que ele é adequado para usar em navegadores da web, executando como JavaScript nas CPUs do consumidor.

Os proprietários do site que colocam o código Coinhive em seus sites ganham moeda Monero. O código Coinhive usa os recursos computacionais dos visitantes do site para explorar o Monero. Um invasor pode colocar o código Coinhive em milhares de sites e ganhar o Monero da mineração que acontece nos navegadores dos visitantes do site.

A equipe de pesquisa da Checkpoint analisou o potencial de lucro de um invasor plantando este malware. Eles concluíram que um invasor com sucesso suficiente para atingir a média de 1.000 usuários concorrentes em todos os sites infectados geraria $ 2.398 em receita mensal.

Nós pensamos que esses ataques crescerão em popularidade muito rapidamente, dado o quanto eles são lucrativos. Ataques que tentam incorporar malwares criptográficos são atualmente pouco sofisticados, mas esperamos ver um aumento na sofisticação dos ataques à medida que a palavra sai que esta é uma empresa lucrativa. Também esperamos que esses ataques atinjam sites de maior tráfego, uma vez que o potencial de lucro aumenta bastante com um maior número de visitantes de sites concorrentes.

Como verificar se seu site está infectado com Cryptocurrency Mining Malware

O firewall do Wordfence bloqueia ataques que tentam infectar sites com este malware. Nós adicionamos capacidade de detecção ao Wordfence para scripts de criptominer. Isso significa que o scanner irá avisar se ele detecta esse tipo de script em seu site. Isso também significa que o firewall do Wordfence bloqueará quaisquer uploads que contenha o script.

Os clientes do Wordfence Premium atualmente já têm acesso a essa capacidade de detecção. Os usuários gratuitos terão acesso a essa capacidade em 24 de novembro através da versão comunitária do Feed de ameaça de ameaça.

É importante certificar-se de detectar rapidamente uma infecção se um invasor conseguir escapar das suas defesas. Abaixo está um exemplo de uma pesquisa de varredura que indicaria que esta infecção existe em seu site.

Também adicionamos recursos de detecção ao Gravityscan. Para executar uma varredura em seu site, basta ir ao site Gravityscan e executar uma varredura. Para obter melhores resultados, recomendamos que você instale o Gravityscan Accelerator .

Abaixo está um exemplo de pesquisa de varredura do Gravityscan.

(Se você adicionou intencionalmente um script criptográfico ao seu site, é claro, você simplesmente pode ignorar a descoberta em qualquer plataforma.)

Alguns malwares criptográficos podem estar mais escondidos ou ofuscados, por isso, sempre preste atenção se muitos de seus visitantes começam a denunciar um mau desempenho por seu navegador ou computador enquanto visitam seu site.

Alguns hackers ajustaram as configurações do minerador para que ele use somente uma parte da energia da CPU disponível, ou que apenas uma instância do script mineiro possa ser executada de cada vez (mesmo que esteja aberto em várias abas).

Mudanças nos modelos de negócios atacantes

Novos modelos comerciais estão constantemente a surgir para os atacantes. Historicamente, os atacantes usariam sites comprometidos para gerar conteúdo de spam ou email de spam. Na última década, o ransomware ganhou popularidade entre os atacantes, pois permite que eles extorquem dinheiro às vítimas. Mais recentemente, o uso de recursos computacionais roubados para o cryptocurrency da mina surgiu como uma maneira de os atores ruins aproveitarem sistemas comprometidos.

Este modelo comercial emergente já entrou no ecossistema WordPress como uma forma de os atacantes se beneficiarem de sites comprometidos com WordPress e com os recursos computacionais dos visitantes do site. É imperativo que os proprietários do site do WordPress implementem um firewall e uma varredura de malware em seus sites para detectar rapidamente esta nova ameaça e garantir que os recursos dos visitantes do seu site não sejam sequestrados na minha criptografia.

O que fazer se o seu site estiver infectado com Cryptocurrency Mining Malware

A maneira mais confiável de recuperar se o seu site é pirateado é usar nosso serviço de limpeza do site . Nossa equipe de especialistas irá limpar seu site e recuperá-lo online o mais rápido possível, e o serviço inclui um relatório detalhado e uma garantia de 90 dias. Você também pode usar a auditoria de segurança e monitoramento da HostCuritiba para fazer uma inspeção de segurança abrangente do seu site.

Se você preferir tentar corrigir qualquer infecção você mesmo, você pode seguir, porém é necessário atenção diária, semanal e updates para qualquer coisa que usar em seu WordPress.

hostcuritiba

A HOSTCURITIBA é uma empresa de Hospedagem de Sites, Registro de domínios e especializada em apoio técnico e proteção de servidores para hospedagem em nuvem. Apoio 24x7 e monitoramento grátis para seu site. Central de vendas (41) 3014-8891 - [email protected]