Website da Worten possivelmente comprometido!

Website da Worten possivelmente comprometido!

Ao entrar no website da Worten notamos uma utilização anormal do CPU chegando mesmo aos 100%

 

Após uma breve inspeção ao código da página reparamos em algumas  partes que não são de todo normais, tais como:

Ao descodificar o ricewithchicken.js encontramos o código do miner isto é muito grave não só pelo facto do site estar a usar recursos dos seus utilizadores, tal como alegadamente a segurança do site pode ter sido comprometida (caso isto não seja um “inside job”).

Ao analisar o código do ricewithchicken.js encontramos https://www.datasecu.download/lib/worker-asmjs.min.js que por sua vez tem no seu código ligações à coinhive.com um famoso crypto miner em javascript usado em websites, que faz uso do CPU dos utilizadores.

Recomendo portanto, até que a situação seja regularizada, a não fazerem compras através do site da Worten.

[Update] Aparentemente o problema está a ter origem aqui: https://webmasters-test.sonaesr.net/worten-pt/Landings/resizer/iframeResizer.contentWindow.min.js que parece estar a ser usado para campanhas como por exemplo: https://webmasters-test.sonaesr.net/worten-pt/iframes/dia-pai/ o que pode indicar que seja apenas um problema interno e a segurança do website não tenha sido comprometida, todavia o miner continua a ser usado e a explorar os recursos dos seus utilizadores.

[Update] Já foi removido o código malicioso do website da worten, neste momento já não é executado nenhum miner ao abrir a página, caso o uso do seu CPU continue a subir sempre que abre a página da worten, limpe a cache do seu browser, ver aqui como o fazer.

No entanto apesar de no site principal ter sido resolvido, aqui https://webmasters-test.sonaesr.net/worten-pt/iframes/dia-pai/ o miner continua a ser executado e o código do miner continua disponivel no webmaster-test.sonaesr.net pelo que fica pouco claro qual a origem do problema e porque não foi completamente removido.

[Update] O código “malicioso” já foi completamente removido dos subsistemas da Worten/Sonae, fazendo com que o comportamento dos seus sites volte à normalidade. Resta saber, afinal o que se passou?

 

Deixe uma resposta