2 client (chiamateli Client R e Client B) hanno segnalato agli utenti dei loro siti Web di lamentarsi del loro antivirus che rileva un trojan chiamato: CoinHive.js. Questo sembra essere un malware bitcoin mining, che avvia thread quando un utente accede al sito Web per utilizzare la potenza di elaborazione e generare bit di moneta.
Dopo molte analisi e dopo la scansione di MalwareBytes (e di altri software anti-malware) non sono stati restituiti hit virus / trojan, abbiamo finito per scaricare localmente i siti Web pubblicati e averli analizzati con Autopsy.
Il sito Web del cliente R ha restituito vari risultati. Alcuni erano falsi positivi, altri erano semplici e chiari, la sceneggiatura per le miniere di monete iniettate. Ciò che risolveva il problema era la rimozione manuale degli script dai file e l'eliminazione della cache del server: C: \ Windows \ Temp
Il sito Web del cliente B non ha restituito risultati. Ma quando si entra nel sito Web e si ispeziona l'elemento, lo script di bit coin mining appare ancora nella parte inferiore del markup html e il nostro Mcaffee lo rileva ancora (per qualche motivo lo rileva in Internet Explorer ma non in Chrome ???).
Abbiamo anche scannerizzato tutti gli altri siti Web sullo stesso server e nessun altro sito Web sembra contenere lo script: abbiamo pensato che il fatto che il sito Web del Cliente B sia stato infetto è dovuto a un altro sito Web che vi inserisce lo script.
Ho trovato 2 strumenti: Anti Web Miner e No Coin ma entrambi sembrano avere a che fare con gli utenti del client che accedono al sito web e nulla a che fare con il server di hosting.
Da dove potrebbe essere iniettato lo script? Cosa possiamo provare? Esiste qualche tipo di eseguibile o qualsiasi altra cosa possiamo cercare manualmente?