O que é Cryptojacking?

09.12.2018

Cryptojacking é uma atividade maliciosa, na qual o dispositivo infectado é usado secretamente para minerar criptomoedas. Para tal, o invasor faz uso do poder de processamento e da banda larga das vítimas (na maioria dos casos isso é feito sem que a vítima se dê conta). Geralmente, esse malware de minerar criptomoedas (cryptomining malware) é projetado para usar apenas o mínimo necessário de recursos do sistema, de forma a se manter despercebido pelo máximo de tempo possível. Visto que a mineração de criptomoedas demanda muito poder de processamento, os criminosos atacam múltiplas vítimas. Dessa forma, eles são capazes de acumular recursos computacionais suficientes para executar uma atividade de mineração de baixo custo e risco.

Versões primitivas dos malwares de mineração dependiam das vítimas clicarem em links ou anexos de email maliciosos, acidentalmente infectando seus sistemas com um crypto-miner. Entretanto, versões mais sofisticadas desse malware tem sido desenvolvidas nos últimos anos, elevando a atividade de cryptojacking a novos patamares. Atualmente, a maioria dos malwares de mineração está rodando através de scripts que são implementados dentro de websites. Esse métodos é conhecido como web-based cryptojacking.


Web-based cryptojacking

Web-based cryptojacking (também chamado de drive-by cryptomining) é a forma mais comum de malware de mineração. Normalmente, essa atividade maliciosa é executada através de scripts que estão rodando dentro de um website, de forma que o próprio navegador (browser) da vítima minera automaticamente por criptomoedas durante toda a duração de sua visita. Esses tipos de mineradores estão sendo injetados secretamente em diversos websites, independente da popularidade ou categoria. Na maioria dos casos, a criptomoeda escolhida pelos criminosos é a Monero, já que seu processo de mineração não demanda tantos recursos (poder de processamento) quanto a mineração de Bitcoin. Além disso, a Monero oferece níveis maiores de privacidade e anonimidade, fazendo com que as transações sejam muito mais difíceis de serem rastreadas.

Ao contrário dos Ransomwares, os malwares de mineração raramente comprometem o computador e os dados que estão armazenados na máquina. O efeito mais notável do cryptojacking é a performance do CPU reduzida (geralmente acompanhada de um aumento no barulho dos coolers). Contudo, para grandes empresas e organizações, essa redução na performance pode atrapalhar muito seu trabalho, resultando em perdas consideráveis de dinheiro ou oportunidades de negócio.


CoinHive

O web-based cryptojacking foi visto pela primeira vez em Setembro de 2017, quando um minerador de cripto chamado CoinHive foi oficialmente lançado para o público. CoinHive consiste de um minerador JavaScript que foi criado, segundo a empresa, para servir uma causa nobre: permitir que donos de websites pudessem monetizar o conteúdo que estavam disponibilizando na internet sem precisar recorrer à propagandas desagradáveis.

O CoinHive é compatível com a maioria dos navegadores mais famosos e é relativamente fácil de implementar. Os criadores do minerador recebem 30% de todas as criptomoedas mineradas através do código que eles criaram. O CoinHive usa chaves criptográficas para identificar qual usuário deve receber os outros 70% das moedas geradas.

Apesar de ter sido inicialmente apresentado como uma ferramenta interessante, o CoinHive recebeu muitas críticas devido ao fato de agora estar sendo amplamente usado pelos criminosos para injetar maliciosamente o minerador dentro de vários websites hackeados (sem o consentimento ou permissão dos donos do site).

Nos poucos casos em que o CoinHive é intencionalmente implementado para o bem, o JavaScript pode ser configurado como uma versão Opt-In chamada AuthedMine, que é uma versão modificada do CoinHive que só começa o processo de mineração depois de receber a autorização do visitante.

Obviamente, o AuthedMine não está sendo adotado na mesma escala do CoinHive. Uma pesquisa rápida no PublicWWW mostra que pelo menos 14.900 sites estão rodando CoinHive (dos quais 5.700 são do WordPress). Por outro lado, o AuthedMine foi implementado em aproximadamente 1.250 páginas.

Durante a primeira metade de 2018, o CoinHive se tornou o malware com maior número de detecções dos antivírus e das empresas de cibersegurança. Porém, relatórios recentes indicam que o cryptojacking não é mais a ameaça prevalente já que a primeira e segunda posição foram tomadas pelos Trojans de Bancos e ataques Ransomware.

O súbito crescimento e declínio do cryptojacking pode estar relacionado com o trabalho das empresas de cibersegurança, já que muitos códigos desses malware foram colocados na lista negra e são rapidamente detectados pela maioria dos antivírus. Além disso, análises recentes sugerem que o web-based cryptojacking não é tão lucrativo quanto parece.


Exemplos de Cryptojacking

Em Dezembro de 2017, o código do CoinHive foi silenciosamente implementado na rede WiFi de várias lojas Starbucks em Buenos Aires (denúncia de um cliente). O script estava minerando Monero através do poder de processamento de qualquer dispositivo que fizesse conexão com a rede.

No início de 2018, o minerador CoinHive foi dentro do YouTube Ads, rodando através da plataforma DoubleClick da Google.In early 2018, the CoinHive miner was found to be running on YouTube Ads through Google’s DoubleClick platform.

Durante Julho e Agosto de 2018, um ataque cryptojacking infectou mais de 200.000 roteadores da marca MikroTik no Brasil, que injetaram o código CoinHive em uma quantidade enorme de tráfego da web.


Como detectar e prevenir ataques cryptojacking?

Se você suspeita que seu CPU está sendo usado mais do que o normal e que seus ventiladores de cooler estão fazendo barulho sem motivo aparente, provavelmente sua máquina está sendo usada para minerar criptomoedas. É importante descobrir se o seu computador está infectado ou se o minerador está sendo executado pelo seu navegador da web. Enquanto o web-based cryptojacking é relativamente fácil de descobrir e interromper, os malwares de mineração que invadem redes e sistemas de computadores não são sempre fáceis de detectar, já que esses são geralmente projetados para atuarem silenciosamente ou disfarçados como um programa legítimo.

Existem extensões de navegador capazes de prevenir efetivamente a maioria dos ataques “web-based”. Mas além de serem limitadas aos mineradores de websites, essa medida preventiva geralmente baseia-se em uma lista negra preestabelecida, a qual pode ficar desatualizada conforme novos malwares são desenvolvidos. Portanto, é recomendado que você mantenha seu sistema operacional e seu antivírus sempre atualizados.

Em relação à grandes empresas e organizações, é importante informar e educar os funcionários sobre cryptojacking e outras técnicas de phishing, como spoofing (fraude) de emails e websites.

Resumindo:

  • Preste atenção à performance da sua máquina e à atividade do CPU3.

  • Instale extensões de navegadores como MinerBlock, NoCoin e Adblocker.

  • Seja cauteloso com anexos e links recebidos por email.

  • Instale um antivírus confiável e mantenha seus aplicativos e sistema operacional atualizados.

  • Para empresas: ensine seus funcionários sobre cryptojacking e técnicas de phishing.

Loading