Infección con software de Minado de Bitcoin en WordPress – Caso de Estudio

por | 19 octubre, 2017

Sabias que tu sitio web podría estar minando Bitcoin sin vos saberlo?

A diario leemos sobre la creciente ¨moda¨ de sitios web que, por opción propia, usan el minado de bitcoin con sus visitantes, para obtener réditos económicos de sus webs.
Pero existen otros casos en los que hay webs que pueden llegar a minar bitcoins sin siquiera saberlo, y esto es justamente lo que me paso hace unos días en un caso digno de estudio.
Hace unos días un cliente me avisa que al visitar su web, un portal de noticias, aparece una alerta del antivirus Avast, avisando de que la web esta infectada con un virus. También me comenta que hizo la prueba desde varias PC diferentes y en todos los casos pasaba lo mismo.

Ante dicho aviso lo primero que hice fue escanear el sitio, que es un WordPress en su ultima versión y con todo el software actualizado. No podía entender como un sitio con WordPress, con solo 2 o 3 plugins, instalados directamente desde el propio wordpress y con un theme también obtenido de la propia tienda de WordPress, podría estar infectado con un Malware
Así que escanee el sitio desde afuera con Sucuri SiteCheck  y por dentro con Malware Bytes  y con ambos el resultado fue el mismo… NADA. Aparentemente aún no detectan infecciones de software de minado de Bitcoin.
Me llamo bastante la atención, especialmente con Malware Bytes pues lo he usado en varias ocasiones y ha demostrado ser una gran herramienta de desinfección…
Además de usar estas herramientas hice una revisión del código fuente del sitio y no encontré nada extraño…

Escaneo con Malwarebytes

Resultados del escaneo con Malwarebytes libres de Minado de Bitcoin

Escaneo con Sucuri

Resultados del escaneo con Sucuri libres de Minado de Bitcoin

No fue hasta que el cliente me paso una captura de pantalla del mensaje que le ponía Avast cuando comprendí por donde venia la mano..
El mensaje que ponía Avast decia:

Amenaza Resuelta:
Hemos anulado de forma segura la conexion de coinhive.com porque estaba infectada por JS-Miner C[Trj].

Ahí comprendí que había algún tipo de código malicioso minando bitcoin en el sitio, así que chequee al momento de abrir la web el consumo de recursos del procesador y ahi estaba…. Cada vez que visitaba la web los 4 nucleos de mi procesador se ponían a tope… 🙁
Fue así que debí hacer una tarea forense de todo el sitio y con la ayuda de un amigo, mediante el inspector de código de Firefox fue que encontramos al culpable (gracias mister!).
Y como fue que un código de esas características se coló en un WordPress con todo el software actualizado? Bueno.. el culpable era un plugin que añadía un widget para mostrar el estado del tiempo… el cual estaba infectado. Desconozco si la infección es algo hecho por el programador del plugin o simplemente el es una víctima mas y fue hackeado.
El nombre del plugin culpable de todo esto es el Weather for us widget y la url del mismo es http://www.weatherfor.us/

Weather for us widget

Weather for us widget – Plugin que mina Bitcoin

Pero lo cierto es que cada vez es mas importante tener mucha precaución a la hora de instalar un plugin en nuestro wordpress…. ya que como ven.. podría venir con sorpresa!!!
Eliminado el plugin se termino el problema y el sitio volvió a quedar seguro…
Moraleja… no importa que tengas todo el software actualizado de tu wordpress y que solo uses plugins de el repositorio de WordPress.. nadie esta a salvo.

Resumen
Minado de Bitcoin en WordPress
Nombre del artículo
Minado de Bitcoin en WordPress
Descripción
Hace unos días un cliente me avisa que al visitar su web, un portal de noticias, aparece una alerta del antivirus Avast, avisando de que la web esta infectada con un virus.
Autor
Nombre del editor
JavierPintos.com

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *