Vai al contenuto

Ragazzi, ci state uccidendo! Il sito omicidi di LA Times hackato per minare criptovalute sui PC degli utenti

 E dicono che non si fanno soldi con i giornali

Un sito del Los Angeles Times ha silenziosamente minato criptovalute usando i browser ed i PC dei visitatori per molti giorni – dopo che gli hacker hanno inserito codice mining nelle sue pagine web.

Lo staff IT del giornale ha lasciato almeno uno dei cloud storage Amazon Web Services S3 aperti a chiunque su internet per cambiarli, aggiornarli e manomettere liberamente.

I furfanti hanno sfruttato questo errore di sicurezza per inserire il codi JavaScript CoinHive Monero-mining nella mappa interattiva degli omicidi di LA Times a homicide.latimes.com.

Le persone che visitano il sito inizieranno inconsciamente a creare alt-coins per chiunque abbia iniettato il codice, a meno che non abbiano un antivirus o un ad-blocker installato per evitare che lo script si carichi. Questo particolare script di criptovalute è rimasto nascosto sul sito dal 9 Febbraio.

Per ora è probabilmente una buona idea evitare quel sito ed altri di proprieta di LA Times finchè la falla non sarà chiusa – software più maligni di un miner potrebbero essere caricati ed iniettati, come uno sniffer di password ed installer di malware.

I criminali che hanno impiantato il cripto-miner nascosto non sono stati i soli a trovare la falla nell'S3 del giornale. Altri hanno lasciato una nota, chiamata BugDisclosure.txt, nel cloud storage vulnerabile, invitando i tecnici ad assicurare l'account:

Ciao, questo è un avvisa amichevole che segnala che le impostazioni del tuo Amazon AWS S3 sono sbagliate. Chiunque può scrivere quì. Per favore sistemate prima che qualcuno di cattivo lo scopra.

Il bucket è usato per caricare grafiche ed altri materiali per il sito del quotidiano. Sembra che un amministratore abbia lasciato non solo il permesso di lettura aperto, ma ha anche abilitato i permessi di scrittura globale, perciò chiunque sarebbe stato in grado di accedere ed iniettare codice ed altri file nei siti del giornale.

Naturalmente, qualcuno l'ha presto fatto – il codice maligno JavaScript si trova vicino ad alcuni codici innocenti all'interno della mappa degli omicidi.

Abbiamo chiesto un commento ad LA Times. Una persona non era immediatamente disponibile. Il ricercatore di Infosec Troy Mursch, che ha tracciato questo tipo di attacchi crypto-jacking, ha raggiunto il Times oggi, ed ha detto di non aver ricevuto risposta. Abbiamo anche riportato l'attività di mining a CoinHive.

Questo non è il primo caso di un'azienda esposta ad una configurazione errata dello storage S3. I ricercatori di sicurezza hanno creato un elenco dei bucket AWS che sono stati impropriamente configurati, risultando nell'esposizione accidentale di milioni di record e frammenti di informazioni personali.

Solo questa settimana gli esperti hanno avvisato che non sono solo i silos leggibili di cui preoccuparsi – quelli scrivibilil permettono ai criminali di iniettare malware nel sito, criptare documenti e tenerli sotto riscatto, ed altro ancora.

Centinaia di note di avviso, che informano gli admin IT dei bucket scrivibili, sono recentemente apparsi nei silos S3, una cortesia degli hackers grey-hat.

Non c'è bisogno di dirlo, se amministri uno o più bucket S3, ora è un buon momento per assicurarti che il tuo controllo degli accessi(lettura e scrittura) sia propriamente configurato per tenere gli utenti non autorizzati fuori. Amazon ha strumenti disponibili per evitare questo tipo di problemi. I silos S3 sono, di default, non accessibili all'internet pubblico.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *