Se aprovecharon de un complemento para personas con discapacidad e introdujeron un código malicioso.

Una crítica situación experimentaron miles de sitios en la red, al ser víctimas de un código malicioso llamado Coinhive. La metodología consistió en secuestrar los recursos de procesamiento de los usuarios para extraer (minar) la criptomoneda Monero.

Aunque lo habíamos visto en casos particulares, desde el sitio chileno reclamos.cl, hasta el wifi de Starbucks, este ataque tuvo una extensión realmente amplia, puesto que el código javascript fue insertado maliciosamente en un popular plugin llamado Browsealoud. El complemento fue creado por Brit biz Texthelp, y ayuda a personas con algún impedimento a entender las páginas mediante traducciones o lectura de voz.

De esta forma, todos los sitios que utilizaban Browsealoud, estuvieron minando silenciosamente para un desconocido. De momento, hay dudas sobre si es que el plugin fue también víctima del ataque de un tercero, o se introdujo desde la misma firma. En cualquier caso, esto declararon a The Register:

    Texthelp ha implementado pruebas de seguridad automáticas continuas para Browsealoud, las cuales detectaron el archivo modificado y, como resultado, el producto se desconectó. No se ha accedido o perdido información de los clientes. Los clientes recibirán una nueva actualización cuando se complete la investigación de seguridad.

El código fue oculto en hexadecimal, pero un experto en seguridad de Reino Unido, llamado Scott Helme, consiguió detectarlo. En total son 4200 los sitios que fueron afectados, desde instituciones de gobierno hasta entidades educacionales, como la Universidad de Lund, UK ICO, USCourts.gov, entre una larga lista que puedes revisar aquí.

De momento el ataque ha cesado y se están realizando las investigaciones necesarias para dar con los responsables.

https://www.fayerwayer.com/2018/02/sitios-fueron-secuestrados-para-minar-criptomoneda/