En un ciberataque sin precedentes, al menos 4.300 sitios web han sido infectados a lo largo del fin de semana por un malware minero, dio a conocer el investigador de seguridad informática británico Scott Helme. Se trata de CoinHive, el cual usa el poder de cómputo de los ordenadores de sus víctimas sin que éstas se den cuenta para minar la criptodivisa Monero.

El hackeo estuvo dirigido a comprometer un complemento o plug-in de accesibilidad llamado BrowseAloud, el cual permite que un sitio web pueda ser usado más fácilmente por personas con visión limitada como pueden ser los disléxicos o gente con un bajo nivel de comprensión de inglés.

En las últimas 36 horas, los piratas informáticos han inyectado el JavaScript de CoinHive en el código del plug-in BrowseAloud. "Si quieres cargar un minador de criptomonedas en 1,000 sitios web, no atacas 1,000 sitios web, atacas el sitio web 1 desde el que todas cargan el contenido", explicó Helme en su blog, y dijo al sitio de noticias Sky News:

Este tipo de ataque no es nuevo, pero este es el más grande que he visto. Una sola compañía hackeada ha significado miles de sitios impactados en todo el Reino Unido, Irlanda y los Estados Unidos.

Entre las dependencias gubernamentales afectadas se encuentran la Agencia Británica de Protección de Datos y Privacidad (ico.org.uk) y el Sistema de Tribunales Federales de Estados Unidos (uscourts.gov).

En el Reino Unido, también se han visto afectadas páginas webs de los servicios de salud (NHS, por sus siglas en inglés), Student Loans Company (slc.co.uk) y varios consejos ingleses como manchester.gov.uk, NHSinform.scot, agriculture.gov.ie, croydon.gov.uk, ouh.nhs.uk y legislation.qld.gov.au, entre otros. De hecho, la web del organismo de control de protección y la de la Oficina del Comisionado de Información incluso fueron desconectadas durante el fin de semana para tratar el problema.

En Australia, el malware de minería fue encontrado en sitios web como el del Parlamento Victoria, el Tribunal Civil y Administrativo de Queensland, el Defensor del Pueblo de Queensland, el Centro Legal Comunitario de Queensland y el de legislación de Queensland. La incursión del malware en las páginas web australianas provino del mismo plugin que afectó los servicios de los portales británicos.

Asimismo, otro tipo de sitios como el de The City University of New York (cuny.edu) fue víctima del ciberataque. La lista completa de las páginas web afectadas se encuentra en este enlace. A mediados de enero, una página de la Secretaría de Educación Pública (SEP) de México también fue infectada con el scipt de CoinHive.

El domingo, el Centro Nacional de Ciberseguridad de Reino Unido informó a través de un comunicado que está analizando los incidentes relacionados con el malware usado para minar la criptodivisa ilegalmente. Por su parte, Texthelp, la empresa que diseñó BrowseAloud, indicó en su propio comunicado oficial:

Nuestra compañía ha examinado a fondo el archivo afectado y puede confirmar que ninguna información fue redirigida, simplemente usó las CPU de las computadoras para intentar generar criptomonedas. El exploit estuvo activo durante cuatro horas el domingo. El servicio BrowseAloud se ha desconectado temporalmente y la infracción de seguridad ya se ha solucionado.

CoinHive se ha convertido en el malware más usado para minar criptomonedas puesto que Monero permite ocultar el remitente, el destinatario y el monto de cada transacción realizada con este token. De acuerdo con The Guardian, desde que su uso se ha popularizado entre los cibercriminales, se cree que al menos 5.000 páginas web han sido infectadas con algún tipo de variante de este script malicioso de minería.