Una nueva campaña de cryptojacking a gran escala ha comprometido más de 3.500 sitios web en todo el mundo, marcando el resurgimiento de los ataques de minería de criptomonedas basados en navegador. Este tipo de amenaza, popularizada por plataformas como CoinHive hace algunos años, vuelve a ganar terreno con técnicas más sofisticadas, discretas y difíciles de detectar.
JavaScript Malicioso: La Base del Cryptojacking Silencioso
Aunque CoinHive fue cerrado después de múltiples bloqueos por parte de los navegadores, los atacantes han encontrado nuevas formas de ejecutar scripts JavaScript ofuscados capaces de iniciar procesos de minería en segundo plano. Según investigadores de seguridad de c/side, estos scripts maliciosos son capaces de:
-
Evaluar la potencia de procesamiento del dispositivo de la víctima.
-
Crear múltiples Web Workers para distribuir la carga de minería.
-
Utilizar WebSockets para recibir tareas de un servidor remoto y ajustar dinámicamente la intensidad del proceso de minería, todo sin levantar sospechas.
«Se trataba de un minero sigiloso, diseñado para evitar la detección manteniéndose por debajo del radar tanto de los usuarios como de las herramientas de seguridad», explicó el investigador de seguridad Himanshu Anand.
Este enfoque de minería encubierta transforma silenciosamente los dispositivos de los usuarios en herramientas de generación de criptomonedas, sin que ellos den su consentimiento o incluso se percaten de la actividad ilícita.
Infraestructura Maliciosa y Vínculos con Magecart
Uno de los aspectos más preocupantes es que el dominio que aloja el minero JavaScript también está relacionado con campañas anteriores de Magecart, conocidas por inyectar skimmers de tarjetas de crédito en sitios de comercio electrónico. Esto indica una estrategia de diversificación de ataques por parte de los actores de amenazas, que ahora combinan cryptojacking con robo de datos financieros.
La reutilización de dominios maliciosos para múltiples tipos de ataques refuerza el peligro de estas amenazas, que están diseñadas para evadir herramientas de seguridad tradicionales y explotar sitios legítimos con gran tráfico.
Técnicas de Infección en Sitios WordPress
Los investigadores también han identificado una variedad de vectores de ataque que explotan vulnerabilidades comunes en sitios WordPress y otros sistemas de gestión de contenido (CMS), especialmente OpenCart. Entre las tácticas detectadas se encuentran:
-
Inyecciones de JavaScript malicioso mediante el parámetro de callback en una URL legítima de OAuth de Google, redirigiendo a un script ofuscado que crea conexiones WebSocket hacia dominios controlados por atacantes.
-
Uso de Google Tag Manager (GTM) modificado directamente desde la base de datos de WordPress (
1wp_optionsy
1wp_posts) para cargar scripts externos que redirigen el tráfico a más de 200 sitios de spam.
-
Modificación del archivo wp-settings.php para incluir scripts PHP maliciosos provenientes de archivos ZIP, que se conectan con servidores C2 (Command and Control) para distribuir contenido no autorizado.
-
Inyección de código en el pie de página del tema activo del sitio para generar redirecciones maliciosas sin interacción del usuario.
-
Complementos falsos de WordPress, diseñados para activarse únicamente ante rastreadores de motores de búsqueda, con el fin de manipular los resultados de búsqueda con contenido spam.
-
Distribución de versiones con puertas traseras del plugin Gravity Forms, específicamente las versiones 2.9.11.1 y 2.9.12, que al instalarse se conectan a servidores externos, instalan cargas útiles adicionales y crean cuentas de administrador con control total sobre el sitio.
RocketGenius, el equipo detrás de Gravity Forms, confirmó que:
“Si tiene éxito en la ejecución de esta carga útil, intentará agregar una cuenta administrativa. Eso abre una puerta trasera a una serie de otras posibles acciones maliciosas, como la expansión del acceso remoto, inyecciones adicionales de código arbitrario no autorizado, la manipulación de cuentas de administrador existentes y el acceso a los datos almacenados de WordPress”.

Un Vampiro Digital: Persistencia en Lugar de Fuerza Bruta
La prioridad actual de los atacantes no es la explotación rápida, sino la persistencia sigilosa. A través de la ofuscación, el uso de infraestructura reutilizada y la ingeniería social, buscan mantener el acceso a largo plazo, desviando lentamente los recursos de los sistemas comprometidos.
Esta evolución en las tácticas de cryptojacking demuestra cómo el JavaScript puede ser convertido en arma, lo que requiere una revisión urgente en la seguridad web, especialmente para administradores de WordPress, eCommerce y sitios con alto tráfico.
Recomendaciones para Mitigar el Riesgo
Para protegerte de este tipo de amenazas, sigue estas recomendaciones:
-
Mantén tu CMS, plugins y temas siempre actualizados.
-
Implementa soluciones de monitorización de integridad de archivos.
-
Usa firewalls de aplicaciones web (WAF) con capacidad para detectar tráfico WebSocket sospechoso.
-
Escanea regularmente tu sitio en busca de scripts ofuscados o contenido modificado.
-
Revisa los archivos críticos de WordPress como
1wp-config.php,
1wp-settings.php, y el pie de página de tu tema.
Fuente: The Hacker News
