Mineradores – Definição

O nome dado para a nova técnica que secretamente usa seu aparelho ou computador para minerar criptomoedas ao visitar um website é Criptojacking. O Criptojacking usa seu dispositivo ou computador para minerar criptomoedas ao visitar sites infectados. Mineradores maliciosos não são novidade, no entanto, uma nova alternativa tem chamado a atenção: a execução de scripts de mineração em javascript, rodando dentro de um site, que consomem processamento (e claro, eletricidade) de máquinas visitantes. Tudo isso sem que o usuário seja notificado do que está acontecendo.

O primeiro, ou um dos primeiros, caso de mineração por javascript no navegador da internet veio do site Pirate Bay, questionando seus usuários: “vocês preferem propagandas no site ou preferem dar alguns ciclos da CPU todas as vezes que entrarem no site?”. Em teoria é uma boa prática, mas rapidamente foi modificada e inserida de forma ilegal em diversos sites, grandes e pequenos, de todos os tipos.

O bloqueio desta atividade não é realizado proativamente por grandes players do mercado. O ideal é realizar manualmente a verificação nos appliances de segurança (como Firewalls e Proxies) para bloquear efetivamente este tipo de conteúdo.

 

Seus servidores podem estar a serviço do Cibercrime

Recentemente o criptojacking também passou a atacar os servidores corporativos. Essas máquinas mais potentes, que não desligam nunca, são uma mina de ouro para os hackers em busca de ganho financeiro com a mineração de bitcoins e outras moedas.

 

Background

Mineração em navegadores existe desde maio de 2011, quando um serviço inovador, chamado BitcoinPlus foi lançado. O serviço era, em muitas formas, extremamente semelhante ao Coinhive. Ele usava um código em JavaScript para mineração e os donos dos websites poderiam se inscrever e embutir os scripts nas suas páginas, para que os visitantes minerassem para eles. A diferença é que, em 2011 a mineração era realizada para os Bitcoins (BTC). Hoje ela está sendo feita para a moeda Monero (XMR) – Uma nova criptomoeda criada com foco na privacidade. Na época, com o Bitcoin ainda em estágios iniciais, a dificuldade de mineração era relativamente baixa e seus preços mais baixos ainda, era possível minerar criptomoedas com hardwares comuns.

Em dezembro de 2013, um grupo de estudantes do MIT, em um projeto chamado Tidbit – exageradamente promovido como uma alternativa para donos de websites gerarem lucro. Mas de novo, o projeto não durou muito, assim que um órgão do governo de Nova Jérsei iniciou uma investigação com a companhia com acusações de acessos ilegais ao “poder de processamento de usuários”. A situação resultou num caso nas cortes que só se resolveu em 2015.

A mineração por navegadores ainda não parecia boa. O crescente problema de lucratividade só se fez pior quando o uso de mineradores ASIC aumentou. O advento desses mineradores ASIC levou a mineração de Bitcoins para cenários de uma era industrial com redes enormes dedicadas a minerar, cenário mais parecido com o que temos hoje.

Apesar das falhas, algumas coisas foram aprendidas. O ponto de um serviço como o Tidbit nunca foi sobre servidores ou computadores dedicados a mineração, mas sim a potencial combinação massiva de máquinas com hardwares medianos ao visitar um website. Maior tráfego em um website, maior as vendas. E, cedo ou tarde, alguém encontraria uma forma da mineração em navegadores funcionar eficientemente.

 

Hoje

Comparando os cenários de 2013 e 2017, há mudanças bruscas e drásticas. Em Abril de 2013, a moeda Bitcoin tinha sua capitalização de mercado em $1.5 bilhões de dólares. O mercado para criptomoedas era extremamente limitado e ilíquido, significando que mesmo que alguém conseguisse alguma moeda, não era fácil em transformá-la em moeda convencional para gastos. O contraste é Setembro de 2017 onde a capitalização de mercado já havia alcançado $166 bilhões de dólares espalhado em diversas moedas.

Junto com a diversidade de moedas para se escolher no cenário atual, agora existem diferentes mecanismos de recompensa. Alguns, como o Bitcoin, só pode ser minerado por um processo chamado de Prova de Trabalho (PoW), utilizando um hardware ASIC, grande consumidor de energia. Outras criptomoedas, como o Monero, Ethereum (ETH) e Dash (DASH) podem ser minerados usando GPUs comuns ao usuário, encontradas em muitos lares. O ambiente de trocas também está completamente diferente; Agora é muito mais fácil conveter criptomoedas em dinheiro “comum” e vice-versa.

É nesse cenário que a onda atual de malwares de mineração surge, junto com a Coinhive, que lançou scripts de mineração para navegadores, da moeda Monero.

 

Mineração persiste após fechar navegador

Com a nova onda mundial de cryptojacking e mineração em navegadores, pesquisadores, já atentos, identificaram mais uma técnica utilizada por hackers e sites maliciosos, que permite a mineração mesmo após o usuário já ter fechado o website e o navegador.

Durante os últimos meses, ocorreu a emergência em massa dos cryptojacking, como uma forma de gerar renda na moeda conhecida como Monero. Hackers consomem energia e CPU de milhões de usuários sem qualquer suspeita, assim que eles visitam websites comprometidos ou maliciosos.

Uma pesquisa recente, realizada pelo provedor antimalware Malwarebytes, identificou uma técnica que permite que a mineração continue mesmo após os usuários já terem fechados os sites e o próprio navegador. O caso acontece em abrir um pop-under que encaixa atrás da barra de ferramentas do Windows e se esconde atrás do relógio do sistema. A janela continua aberta até que o usuário, manualmente, investigue e feche o processo específico. Até que isso aconteça, a mineração é ininterrupta.

Outra técnica utilizada é a de se esconder: O código escondido nessa janela se preocupa em nunca consumir demais processamento da máquina que estiver rodando. Assim, mesmo que a mineração ocorra de forma mais lenta, não levanta tantas suspeitas dos usuários, que acabam não investigando.

A técnica foi confirmada no Google Chrome e nos Windows 7 e Windows 10. Ainda não foi oficialmente confirmada em outros sistemas e navegadores, mas, como a maioria das ondas de ataque hacker, é só uma questão de tempo.

 

Danos Físicos

Um novo malware para Android, que minera a criptomoeda Monero, quando infecta um aparelho utiliza tanto processamento que causa dano físico ao celular. Pesquisadores do Lab Kaspersky identificaram o “Trojan.AndroidOS.Loapi”. O malware é distribuído, principalmente, através de propagandas.

Uma vez instalado a aplicação, que normalmente vem disfarçada como antivírus ou app pornô, pede privilégios administrativos, entrando em um loop até que o usuário ceda ao cansaço e concorde em dar o acesso. A mineração móvel não é a única ação que o malware faz. Após dois dias de observação de um aparelho infectado, pesquisadores descobriram que a constante carga fez com que a bateria do aparelho se curvasse e deformasse a capa.

“Nós nunca vimos um malware ‘faz-tudo’ dessa forma”, disseram os pesquisadores. “A única coisa restante é espionagem de usuários, mas com a arquitetura modular desse Trojan significa que seria possível adicionar essa funcionalidade a qualquer momento”.

Como sempre, a melhor maneira de evitar o Loapi é não baixar aplicativos suspeitos de fontes desconhecidas. Parece óbvio, mas muitas pessoas ainda o fazem.

 

Infectando o Facebook Messenger

O malware, batizado de Digmine, foi identificado primeiro na Coreia do Sul. Desde então já foi confirmado no Vietnã, Azerbaijão, Ucrânia, Filipinas, Tailândia e Venezuela. Da forma que se propaga, muito em breve o malware estará em outros países.

As vítimas recebem um arquivo com o nome “vídeo_xxx.zip” por um de seus contatos no Messenger. Ao abrir o arquivo, o Google Chrome será carregado junto com uma extensão maliciosa. Em teoria, extensões só poderiam ser baixadas do site oficial Chrome Web Store, mas é possível burlar via linhas de comando.

Uma vez infectado e dentro do sistema, uma versão modificada do XMRig, uma ferramenta de mineração do Monero, é instalada. A ferramenta minera a criptomeda no fundo usando CPU da vítima, enviando os lucros aos hackers.

Por fim, a extensão também é utilizada para a propagação do Digmine. Se uma vítima infectada tem sua conta configurada para login automático, o arquivo falso será enviado para todos os seus amigos da lista de contatos, via Messenger. O malware poderia também ser utilizado para hackear e assumir por completo uma conta do Facebook.

Como sempre, a melhor maneira de evitar malwares é não abrir qualquer tipo de link e arquivo suspeito, mesmo que venham dos seus amigos.