2 clientes (llámelos Cliente R y Cliente B) informaron a los usuarios de sus sitios web quejándose de que sus antivirus detectaban un troyano llamado: CoinHive.js. Este parece ser un malware de minería de bitcoins, que comienza a crear hilos cuando un usuario accede al sitio web para usar la potencia de procesamiento y generar monedas de bits.
Después de mucho análisis, y después de que MalwareBytes (y otro software anti-malware) no arrojó virus / troyanos, terminamos descargando los sitios web publicados localmente y escaneando con Autopsia.
El sitio web del cliente R devolvió varios hits. Algunos eran falsos positivos, otros eran directos y sencillos, el script de minería de monedas inyectadas. Lo que solucionó el problema fue eliminar manualmente los scripts de los archivos y eliminar el caché del servidor: C: \ Windows \ Temp
El sitio web del cliente B no devolvió hits. Pero al ingresar al sitio web e inspeccionar el elemento, el script de minería de monedas de bits aún parece aparecer en la parte inferior del marcado html y nuestro Mcaffee aún lo detecta (por alguna razón lo detecta en Internet Explorer pero no en Chrome). / p>
También escaneamos todos los otros sitios web en el mismo servidor y ningún otro sitio web parece contener el script: pensamos que el hecho de que el sitio web del Cliente B esté infectado se debió a que otro sitio web insertó el script en él.
Encontré 2 herramientas: Anti Web Miner y No Coin pero ambos parecen tener que ver con que los usuarios del cliente accedan al sitio web y nada que ver con el servidor de alojamiento.
¿Desde dónde se puede inyectar el script? ¿Qué podemos intentar? ¿Hay algún tipo de ejecutable o algo más que podamos buscar manualmente?