Los scripts de minado de criptomonedas son una de las amenazas informáticas más recientes y más molestas que nos podemos encontrar en la red. A diferencia del malware habitual basado en un fichero, estos scripts, normalmente programados en JavaScript se ocultan en las páginas web y, en cuanto el usuario accede a ellas, ponen la CPU al 100% y empiezan a minar distintas criptomonedas a costa del hardware, y la luz, del usuario. No conformes con este tipo de scripts, los piratas informáticos han querido ir más allá, y ahora han conseguido utilizar el fichero favicon.ico, el icono de las webs, para minar criptomonedas como si fuese un script.
Tal como podemos leer en Twitter, este investigador, al intentar visitar una página web, se ha encontrado con que su ordenador se ponía al 100%. Lo primero que sospechamos hoy en día es que esta web oculta un script de minado de coinhive, o similar. Sin embargo, un análisis en detalle de los ficheros de dicha web nos muestra cómo el código JavaScript malicioso en realidad se está escondiendo dentro del fichero “favicon.ico” de la web.
Es curioso ver cómo un navegador web es capaz de cargar un archivo de extensión .ICO, que en realidad es un código JavaScript, como si se tratase de un script sin detectar nada extraño. Tras analizar y descodificar dicho fichero, otros usuarios que han respondido en el mismo hilo de Twitter han demostrado cómo, efectivamente, se trata de un script de Coinhive utilizado para minar criptomonedas a costa del usuario, script igual al que encontramos en otras webs.A cryptocurrency miner hidden in a favicon.ico - welcome to 2018— ronan cremin (@xbs) February 14, 2018
via @chrskly pic.twitter.com/UiLo16dUDU
@supersole - Hey, is the javascript mining script coinhive on your website deliberately? If it's not, you might want to know that it is there.— Foiled Tin (@TinfoilParanoia) January 29, 2018
Como podemos ver, los piratas informáticos cada vez ponen más difícil la detección y el bloqueo de esta amenaza. Lo que tampoco es normal es que los navegadores web ejecuten como un Javascript un fichero ICO que debería ser una imagen.
Cómo protegernos de los scripts de minado de criptomonedas ocultos en el favicon de las webs
Cuando estos conjuntos de órdenes eran script como tal no había mucho problema para bloquearlos, ya que instalando una extensión en el navegador se detectaba y bloqueaba el código malicioso. Sin embargo, al estar en esta ocasión ocultos en el fichero favicon, y además ofuscados, son más complicados de detectar.
Por ello, lo mejor que podemos hacer en este caso es instalar el script “Halt and Block Mining“, creado por nosotros, de manera que podamos añadir al fichero hosts de nuestro sistema las webs utilizadas para minar criptomonedas sin permiso de manera que se bloquee la conexión con todas ella y, por lo tanto, estas amenazas no funcionan, ni desde scripts ni desde el favicon ni desde un malware convencional.
Una vez descargado el fichero “HBmining.bat“, simplemente debemos ejecutarlo en una ventana de CMD, con permisos de administrador (para poder editar el fichero hosts de Windows) de manera que se incluya la línea correspondiente en el fichero y se borre la caché DNS para bloquear toda conexión con este servidor, protegiendo así nuestro PC y evitando que codiciosos y piratas informáticos lo utilicen, sin permiso, para minar criptomonedas mientras navegamos.
