El investigador neerlandés Willem de Groot ha descubierto que el sitio web de Albert Heijn, una de las mayores cadenas de supermercados de Países Bajos, está utilizando el aviso de cookies exigido por la UE para ejecutar un minero en formato de JavaScript, de forma similar al ya tratado coinhive.

Tras examinar de forma más minuciosa los ficheros JavaScript correspondientes al aviso sobre cookies, de Groot hizo un seguimiento a un fichero llamado cookiescript.min.js, el cual está cargado desde cookiescript.info. Este dominio está registrado en el servicio Cookie Consent, un sitio web que permite colocar rápidamente el aviso de cookies.

Cookie Consent genera un bloque de código que los wembasters deben introducir en los sitios web que están desarrollando. Sin embargo, posiblemente los que se hayan apoyado en este servicio ahora se lleven un disgusto al comprobar que uno de los ficheros JavaScript cargados para consentir cookies contiene Crypto-Loot, un minero de la criptodivisa Monero a nivel de navegador web.

CookieScript-source-code

Además, Crypto-Loot también ha sido hallado en los siguientes ficheros JavaScript con las siguientes URL completas:

  • http://cookiescript.info/libs/cookiescript.min.js
  • https://cookiescript.cdn2.info/libs/cookieconsent.4.min.js
  • https://cookiescript.cdn2.info/libs/cookieconsent.5.min.js
  • https://cookiescript.cdn2.info/libs/cookieconsent.6.min.js

Tras su hallazgo, de Groot encontró otros 243 sitios web (que pueden ser muchos más) que implementan el JavaScript malicioso de Cookie Consent utilizando el motor de búsqueda PublicWWW. Por otro lado, Crypto-Loot no es ningún software marginal dentro de su segmento, ya que es el tercero más utilizado tras Coinhive y JSEcoin.

Tras ser notificados, los administradores de Cookie Consent publicaron una nueva versión de su notificación emergente sin el minero Crypto-Loot, aunque este sigue presente en versiones anteriores.

El usar JavaScript para minar criptomonedas sin contenimiento o engañando al usuario se ha convertido en uno de los malware más populares. Según Check Point, Coinhive se ha conviritó en la sexta familia de malware más relevante en octubre de 2017, mientras que Malwarebytes bloqueó la semana pasada una media de 8 millones de peticiones diarias de solicitudes al dominio de Coinhive.

Malwarebytes-detection.gif

 

Fuente: BleepingComputer | muyseguridad