Más de 400 sitios web en Drupal afectados por malware

Esta vez le ha tocado el turno a las páginas web realizadas en Drupal. Más de 400 web han sido víctimas de hackers con crypto-jacking a principios de este mes de mayo de 2018.  A todos estos sitios web se les ha introducido Coinhive.

¿En qué consiste Coinhive?

Se trata de una biblioteca en JavaScript. Esta se utiliza para minar Monero utilizando los recursos de los ordenadores de los usuarios.

En sí no son software malicioso en sí que vaya a modificar o borrar algo en nuestros archivos. Más bien lo que hace es afectar el rendimiento del terminal del usuario. Esto es debido a que aumenta el consumo de recursos de la CPU. Como consecuencia, el procesador se ralentiza y comienza a utilizar mayor cantidad de electricidad.

El minero está activo en el navegador de Internet. Por lo que a medida que se carga una página, el minero comienza a consumir la potencia del procesador. Para ganar suficiente dinero, los hackers deben infectar suficientes computadoras con crypto-miner.

¿Qué tenían en común los sitios web en Drupal infectados?

En un principio el CMS Drupal fue el más utilizado, hasta que lo desplazó WordPress. Las webs infectadas tenían en común que contaban con una versión antigua del sistema de administración de contenido de Drupal.

¿De dónde son los sitios web?

Las víctimas de este ataque son entidades gubernamentales, instituciones educativas y varias firmas tecnológicas. Lo que supone que son sitios con bastante tráfico de usuarios. Algunas de estas instituciones infectadas son: la Junta Nacional de Relaciones Laborales de Estados Unidos la Universidad de California de Los Ángeles (UCLA), Lenovo y D-Link. También las páginas web de los gobiernos de Estados Unidos, Perú, Sudáfrica, Italia y México.

¿Cómo detectar que nuestro ordenador está infectado?

Los síntomas de que nuestro terminal está siendo utilizado para minar son:

• El ordenador funciona más lento de lo habitual.
• La carga de RAM es inusualmente baja.
• Los recursos del procesador van muy lentos.

Para hacer estas comprobaciones iremos al Administrador de Tareas y comprobaremos cómo se comportan los recursos del sistema.

Si vemos tareas que no conocemos, iremos a consultarlas a Google. En el caso de encontrar un bitcoin miner, la eliminaremos inmediatamente.

¿Cómo eliminar la amenaza?

Deberemos instalar programas que pueden ayudarnos a detectar si hemos sido infectados:

• Malwarebytes Anti-Malware
• RogueKiller Antimalware
• Web Cureit!

Una vez que hemos identificado y sabemos que están minando con nuestro PC deberemos realizar los siguientes pasos:

Instalaremos ComboFix o ADWCleaner. En el caso de un sistema operativo con Windows 10, optaremos por la segunda opción. Esto es debido a que ComboFix no es compatible.

• Desconecta el PC de Internet.
• Ejecutar uno de los programas de identificación de malware:
  • Malwarebytes Antimalware. Primero haz un escaneo rápido y después otro completo.
  • RogueKiller hace ya un escaneo completo, así como de las entradas de registro de Windows.
  • Web Cureit! Escaneará y nos dará la opción de limpiar.
• Nos aseguraremos de que el PC está limpio.
• Ahora ejecutaremos bien ComboFix, bien ADWCleaner . Para limpiar aquellos lugares donde no hayan podido llegar los otros programas.
• Una vez terminada la limpieza, reiniciaremos el PC para que se apliquen los cambios.

Si no puedes eliminarlo o tienes algún otro tipo de problema, no dudes en ponerte en contacto con nosotros.