Lebih dari 300 Situs Drupal Cryptojacked

Seorang peneliti keamanan independen menemukan bahwa situs yang menjalankan versi Drupal yang usang semakin sering diserang dengan skrip cryptojacking dari Coinhive.

Apa yang dilakukan situs-situs Kebun Binatang San Diego, pemerintah Chihuahua, Meksiko, Lenovo, UCLA, dan DLink?

Menurut penemuan yang dibuat oleh peneliti keamanan independen Troy Mursch, mereka semua menambang cryptocurrency menggunakan komputer pengunjung mereka secara tidak sengaja. Dia juga menemukan hal lain yang mereka bagikan yang dapat menjelaskan bagaimana mereka semua jatuh dengan mudah ke serangan ini.

“Meskipun situs [ ... ] ini tidak memiliki hubungan satu sama lain, mereka berbagi denominator umum — mereka [ ... ] menggunakan versi sistem manajemen konten Drupal yang ketinggalan jaman dan rentan. Setelah saya menganalisis IoC, saya dapat menemukan lebih dari 300 situs web tambahan dalam kampanye cryptojacking ini. Banyak yang ditemukan adalah situs pemerintah dan universitas dari seluruh dunia, ” tulisnya .

Meskipun Drupal tidak sepopuler WordPress, jutaan situs masih menggunakan CMS untuk berbagai tujuan, mulai dari presentasi kelembagaan hingga situs e-commerce. Versi terbaru dari perangkat lunak harus melindungi terhadap hal ini, tetapi Mursch memperingatkan bahwa perlindungan ini tidak berlaku surut untuk situs yang telah terpengaruh oleh cryptojacking.

“Tim keamanan Drupal telah menyiapkan FAQ yang mendokumentasikan tingkat risiko dan langkah-langkah mitigasi. Perhatikan bahwa menginstal pembaruan tidak akan secara retroaktif 'membatalkan' situs web Anda dan Anda mungkin perlu mengambil langkah-langkah remediasi lebih lanjut, ”tambahnya.

Menemukan skrip Coinhive secara manual mungkin sulit karena dikaburkan oleh peretas yang menerapkannya. Sebaliknya, pemilik situs web harus melalui kode mereka baris demi baris untuk mencari referensi ke CoinHive, "vuuwd.com/t.js," atau JavaScript yang ditambahkan ketika masalah muncul.

Kurang dari sebulan yang lalu, Dekan SANS dari penelitian Johannes B. Ullrich menemukan tanda - tanda bahwa situs Drupal mulai terkena eksploitasi pertambangan cryptocurrency.

Dalam penyelidikannya, serangan itu datang dalam bentuk pengunduh yang akan menambang menggunakan komputer server sebagai lawan dari klien dan menggunakan pengarah dalam permintaannya dari mesin pencari Cina populer Baidu.

Kami tidak yakin apa yang membuat peretas melihat Drupal sebagai tujuan favorit baru, tetapi mungkin ada hubungannya dengan fakta bahwa mereka sudah dipadati oleh cryptojackers lainnya. Dalam hal ini, cryptocurrency seperti Monero mungkin mendorong para peretas menjadi gila dan saling bersaing untuk wilayah di situs web yang dieksploitasi.

Share: