Monero: cuando el usuario es víctima del cryptomining

Facundo Rojo Gil - CEO de Vintegris opina sobre Monero
Facundo Rojo Gil - CEO de Vintegris opina sobre Monero

Analizamos una técnica que permite a propietarios de sitios web dudosos o atacantes que tienen sitios comprometidos mantener la extracción de Monero incluso después de que se cierra la ventana del navegador.

Las pruebas en cuestión acerca de Monero se realizaron utilizando la última versión del navegador Google Chrome.

Es necesario resaltar que los resultados pueden variar con otros navegadores.

Lo que observamos fue lo siguiente:

Un usuario visita un sitio web, que carga silenciosamente el código cryptomining.

La actividad de la CPU aumenta, pero no está al máximo.

El usuario abandona el sitio y cierra la ventana de Chrome.

La actividad de la CPU permanece más alta de lo normal a medida que continúa la criptomoneda.

El truco es que, aunque las ventanas visibles del navegador están cerradas, hay una oculta que permanece abierta.

Esto se debe a un pop-under que está dimensionado para caber justo debajo de la barra de tareas y se esconde detrás del reloj. Las coordenadas de la ventana oculta variarán en función de la resolución de pantalla de cada usuario, pero siga esta regla:

Posición horizontal = (pantalla actual x resolución) – 100

Posición vertical = (resolución de pantalla actual y) – 40

Si su tema de Windows permite la transparencia de la barra de tareas, puede echar un vistazo a la ventana deshonesta.

De lo contrario, para exponerlo, simplemente puede cambiar el tamaño de la barra de tareas y mágicamente aparecerá una copia de seguridad:

Espiando debajo de la alfombra

Este evento en particular fue captado en un sitio para adultos que ya usaba trucos publicitarios agresivos. Al observar el tráfico de la red, podemos ver de dónde viene la ventana del navegador fraudulento y qué carga.

La ventana pop-under es lanzada por la red publicitaria Ad Maven, que a su vez carga recursos de Amazon. Este no es el primer cryptominer alojado en AWS, pero este hace las cosas de forma un poco diferente al recuperar una carga de otro dominio.

Mitigación

Este tipo de pop-under está diseñado para eludir adblockers y es mucho más difícil de identificar debido a lo hábilmente que se oculta.

Cerrar el navegador con la “X” ya no es suficiente.

Los usuarios más técnicos querrán ejecutar el Administrador de tareas para asegurarse de que no haya remanentes ejecutando procesos del navegador y terminarlos.

Alternativamente, la barra de tareas seguirá mostrando el icono del navegador con un ligero resalte, lo que indica que todavía se está ejecutando.

 

Facundo Rojo Gil, CISA,CISM, Director General – VINTEGRIS

Sígueme en Twitter

Sé el primero en comentar

Dejar una contestacion