Un acortador de URL mina criptomonedas, y no te abre el enlace hasta que acaba

Virus

Los acortadores de URL son un elemento muy útil para compartir links en redes sociales, SMS o en cualquier sitio donde el número de caracteres es limitado, además de que permite apuntarlas rápidamente en un papel. Sin embargo, hay atacantes que se aprovechan de ellas para intentar colarnos malware, e incluso ahora algunas minan criptomonedas.

Los scripts que minan criptomonedas son cada vez más sofisticados

Los scripts de minado de criptomonedas no son algo nuevo, y hemos hablado bastante de ellos en el último año. Con ellos, los dueños de las webs buscan beneficio directo de los usuarios minando criptomonedas en su ordenador durante el tiempo que los usuarios están navegando en la web. Páginas como MejorTorrent minan criptomonedas aprovechando en torno al 60% de nuestra CPU cuando las visitamos, y hay otros cientos de ejemplos similares.

La mayoría de estas webs usan un script de Coinhive, que también tiene un acortador llamado cnhv.co. En este acortador introducimos cualquier enlace, y nos deja una URL corta que tiene una oscura contraprestación. En lugar de redirigirnos rápidamente a la web, nos aparece un mensaje que pone PROOF OF WORK REQUIERED – REDIRECTING SHORTLY.

coinhive-shortener

En ese tiempo, el acortador está minando criptomonedas en nuestro ordenador, y no podemos hacer nada por evitarlo hasta que haya terminado si realmente queremos obtener el enlace. Una vez se terminan de procesador los hashes (los cuales establece quien ha acortado el enlace), se redirige a la URL final.

Un iFrame de 1×1: así minan criptomonedas sin que te enteres

Aunque esto es una manera de que algunas webs ganen dinero sin anuncios, otras páginas lo están usando para minar criptomonedas inyectando el código, y los visitantes no son conscientes de ello en muchas ocasiones. Normalmente el código ser carga cuando el visitante pincha en la URL acortada, pero parece que los atacantes han encontrado un método para cargarla junto al resto de la página sin que el usuario tenga que interactuar con ella.

El script no se carga directamente desde la web, sino desde el dominio de cnhv.co. Esta ambigüedad está haciendo que los antivirus y las empresas de seguridad tengan dificultades para detectarlo, y por ello no está listado como sospechoso todavía. Sin embargo, sí han listado cientos de páginas que están inyectando el código con iFrames, lo cual le permite cargarse sin que el usuario interaccione.

El iFrame en concreto tiene unas dimensiones de 1×1 píxeles, por lo que los visitantes no lo pueden ver cuando están navegando por la web ni pueden cerrarlo, siendo prácticamente invisible. Como ocurre con este tipo de ataques, algunas webs lo están usando a propósito, y otras han sido comprometidas y se les ha inyectado sin su consentimiento. Y de momento, no hay manera de evitarlos.

Escrito por Alberto García

Fuente > Help Net Security