Falhas no Drupal são divulgadas e centenas de sites passam a ser usados para minerar criptomoedas

Nas últimas semanas, mais de um milhão de sites ficaram expostos a duas graves falhas de segurança do Drupal. As páginas tiveram que realizar uma atualização o quanto antes para correrem menos riscos de serem atacadas, mas, como sempre, nem todas seguiram a recomendação.

Isso logo abriu espaço para a criação de campanhas maliciosas com o objetivo de implantar malware nos sites e minerar criptomoedas ilegalmente. Entre as vítimas dos ataques, estão os sites da National Labor Relations Board (agência americana reguladora do trabalho), da Universidade de Aleppo e até mesmo da Lenovo.

De acordo com o BleepingComputer, dois ataques foram identificados na última semana. Um deles, descoberto por Troy Mursch, foi realizado por um grupo que obteve acesso a diversos sites feitos em Drupal.

Os cibercriminosos esconderam um arquivo do Coinhive, um script responsável por minerar a altcoin Minero com a ajuda da CPU do visitante. Ao menos 350 sites foram infectados por meio dessa estratégia.

Mursch disponibilizou uma planilha com os sites afetados, incluindo páginas de empresas e órgãos no Brasil, como D-Link, Estapar e Universidade Federal Rural de Pernambuco. Até a publicação desse post, os arquivos responsáveis pela mineração ainda estavam hospedados nos sites.

Um outro ataque já havia sido descoberto pela Imperva, uma empresa de cibersegurança. Ele foi batizado de “Kitty”, pois escondia nos sites o arquivo “me0w.js”. Neste caso, os cibercriminosos não usaram o Coinhive, mas, sim, um serviço de mineração legítimo oferecido pela própria Monero. O número de sites afetados por esse ataque não foi revelado.