Hai appena sentito parlare di Bad Rabbit, l'ultimo attacco ransomware? Beh, sembra ormai troppo vecchio per essere una novità.
L'ultimo nel bollettino è Coinhive, un noto servizio basato su browser che ha subito un dirottamento. Secondo i rapporti, i record DNS di Coinhive sono stati compromessi dai dirottatori, offrendo loro un facile accesso per rubare la criptovaluta estratta tramite lo script del progetto.
Cos'è Coinhive?
Coinhive è un famoso servizio che consente ai proprietari di siti Web di utilizzare il proprio codice JavaScript per il mining di Monero per guadagnare entrate senza bombardare i visitatori con annunci pubblicitari.
Coinhive utilizza la potenza della CPU del computer del visitatore per eseguire il mining criptovaluta che trattiene il 30% del denaro estratto. Il resto del denaro guadagnato viene dato ai proprietari del sito. L'intero processo avviene solo dopo il consenso e la conoscenza del visitatore.
Da leggere: Come mantenere i tuoi dati al sicuro dagli hacker
Il progetto, tuttavia, ha dovuto affrontare molti problemi nella sua fase iniziale, poiché i proprietari del sito sono riusciti a ingannare i visitatori utilizzando il loro script a loro insaputa. Poiché lo schema non è mai stato reso noto ai visitatori, ha costretto gli ad blocker a bloccare lo script iniziale.
A causa di questi problemi iniziali, gli aggressori hanno trovato un modo semplice per compromettere i siti web e si sono dotati degli script di mining per guadagnare.
Le ultime notizie
Coinhive ha annunciato martedì che il suo account CloudFlare è stato violato. CloudFlare è un account che consente a Coinhive di alterare i suoi server DNS. Questo viene fatto per sostituire il codice JavaScript ufficiale di Coinhive incorporato in numerosi siti Web con una versione dannosa.
https://coin-hive[.]com/lib/coinhive.min.js
Un hacker ha riutilizzato una password trapelata dalla violazione dei dati di Kickstarter del 2014
È stato riferito che gli hacker hanno riutilizzato una password trapelata dalla violazione dei dati di "Kickstarter" avvenuta nel 2014. Si presume che la password sia stata utilizzata per ottenere l'accesso all'account CloudFlare di Coinhive.
Come detto da Coinhive in un post sul blog: "Stasera, 23 ottobre intorno alle 22:00 GMT, il nostro account per il nostro provider DNS ( Cloudflare) è stato effettuato l'accesso da parte di un utente malintenzionato. I record DNS per coinhive.com sono stati manipolati per reindirizzare le richieste per coinhive.min.js a un server di terze parti."
"Questo server di terze parti ha ospitato una versione modificata del file JavaScript con una chiave del sito codificata."
"Abbiamo imparato dure lezioni sulla sicurezza ty e da allora abbiamo utilizzato 2FA e password univoche per tutti i servizi, ma abbiamo trascurato di aggiornare il nostro account Cloudflare vecchio di anni.
"Stiamo cercando modi per rimborsare i nostri utenti per le entrate perse stasera. Il nostro piano attuale è quello di accreditare a tutti i siti ulteriori 12 ore di hashrate medio giornaliero", hanno aggiunto. Conhive ha garantito ai suoi utenti che i dati dei loro siti web sono sicuri e non sono stati compromessi.
Come misura di sicurezza, marchi di antivirus come Kaspersky e Malwarebytes hanno bloccato gli script Coinhive. Ciò salverà i clienti dall'utilizzo eccessivo della CPU e dall'estrazione non autorizzata.
Sebbene l'hacking non sia una storia nuova al giorno d'oggi, l'hacking di Coinhive evidenzia chiaramente le lacune nei sistemi di sicurezza basati su password.
Da leggere: 10 tecniche comuni utilizzate dagli hacker moderni!
Anche se Coinhive utilizzava l'autenticazione a due fattori, gli aggressori sono riusciti facilmente ad hackerarlo. Ciò accade principalmente perché le aziende non hanno ancora una visione completa della sicurezza informatica. E questo li induce a pensare erroneamente che i loro sistemi di sicurezza siano sufficientemente sicuri da resistere ai dirottamenti, mentre, al contrario, i loro sistemi di difesa non sono altro che costosi patchwork che possono essere facilmente violati.
leggi: 0
