A mineração por criptomoeda é usada por criminosos cibernéticos para obter um lucro rápido com bitcoin em 2009

Nos últimos meses, nos deparamos com alguns arquivos JavaScript aparentemente usados ​​para minas criptomoedas diretamente no navegador. Há muito tempo, os criminosos cibernéticos têm aproveitado criptomoeda mineração, a fim de obter lucro. No entanto, eles geralmente usam malware ou aplicativos potencialmente indesejados que instalam na máquina da vítima para gerar um centavo desonesto.

Nesse caso específico, a mineração é executada diretamente no navegador quando o usuário navega para determinados sites. Assim, não há necessidade de infectar a máquina da vítima ou explorar vulnerabilidades. Tudo o que é necessário é um navegador com JavaScript ativado, que é o estado padrão da maioria dos navegadores. Esta postagem de blog descreve a pesquisa que realizamos para entender melhor essa ameaça.


Começamos a investigar nossa telemetria e descobrimos que a ameaça foi parcialmente distribuída usando malvertising. Esse tipo de tarefa intensiva de CPU é geralmente proibida pela maioria das redes de anúncios, pois degrada substancialmente a experiência do usuário. Pode parecer contra-intuitivo para o meu cryptocurrencies no navegador – sabemos que a mineração bitcoins exige muito poder de CPU – mas os cibercriminosos, como veremos mais adiante, optaram por minar criptomoedas que não exigem hardware personalizado para minerar com eficácia. Além disso, é mais fácil alcançar um número significativo de máquinas “infectando” sites do que infectando máquinas de usuários.

dólar para bitcoin

O principal método de distribuição do mineração scripts é malvertising. Geralmente, consiste em comprar tráfego de uma rede de anúncios e distribuir JavaScript malicioso em vez de um anúncio tradicional. Neste caso em particular, não temos certeza se a injeção do script foi planejada ou se listar [.] Biz foi comprometido. No entanto, listar [.] Biz é realmente suspeito, uma vez que parece imitar o contador LiveInternet (LI stat), que é um contador web legítimo. Além disso, muitos domínios suspeitos foram registrados com o mesmo endereço de e-mail, incluindo o lmodr [.] Biz, que também está presente na cadeia de malvertising.

Os principais sites que forneceram tráfego para os scripts de mineração durante julho de 2017 são mostrados na Figura 4. Observamos que a maioria é de sites de streaming de vídeo ou de jogos no navegador. Isso faz sentido, já que os usuários tendem a passar mais tempo na mesma página enquanto assistem a um filme ou jogam. Além disso, espera-se que tais páginas da Web tenham uma carga de CPU maior que o normal, o que tenderia a mascarar a carga adicional do script de mineração. Assim, permite a scripts de mineração correr mais e usar mais poder de computação.

volume de negociação de bitcoin

Feathercoin e Litecoin são criptomoedas inspiradas no Bitcoin. A principal diferença é que eles usam diferentes algoritmos de hash: neoscrypt e scrypt, respectivamente. O objetivo é reduzir a necessidade de usar hardware personalizado, como minies ASIC, em vez de CPUs regulares. Para explorá-las, é necessário não apenas a potência da CPU, mas também uma grande quantidade de memória.

A última altcoin, Monero, é diferente das outras duas. Sua principal característica é maior privacidade em comparação com o Bitcoin. É difícil rastrear transações porque o blockchain não é transparente. Em particular, ele usa assinaturas de anel para ocultar o endereço do remetente entre vários endereços de remetente possíveis. Também gera uma nova chave pública para cada transferência para ocultar o receptor real. O algoritmo de hash usado, cryptonight, também requer muita memória. Assim, faz sentido escolher esse tipo de altcoin para mineração de JavaScript em máquinas comuns.

Como a mineração exige muito poder de computação, não é surpresa que o operador tenha decidido usar o asm.js em vez do JavaScript comum para implementar os algoritmos de hash. O Asm.js é considerado entre 1.5 e 2 vezes mais lento que a implementação regular desses algoritmos em C. Três deles são fornecidos: scrypt.asm.js (Litecoin), cryptonight.asm.js (Monero) e neoscrypt.asm .js (Feathercoin).

bitcoin bg

Finalmente, o endereço da carteira Feathercoin é o mesmo em todos os scripts, enquanto vários endereços diferentes do Monero são usados. No entanto, os mesmos endereços são compartilhados em vários scripts; Assim, acreditamos que todos pertencem ao mesmo grupo. Como a principal característica do Monero é o anonimato, não conseguimos acessar a quantia de dinheiro armazenada nas carteiras. Quanto ao Feathercoin, o endereço não foi visto na rede. Não temos certeza da razão para isso, mas pode ser devido ao uso de um pool de mineração. Link com os mineiros da web anteriores

Em um post de blog publicado no início de 2016, um internauta reclamava de um script usando 100% de CPU. O que eles descreveram é muito semelhante ao que analisamos e Endereço Feathercoin fósforos. Na época da descoberta, o script de mineração estava hospedado em minecrunch [.] Co. Procurando por este domínio leva a um tópico em cryptocurrencytalk.com em que o usuário Kukunin descreve seu “humilde serviço – MineCrunch”. Em relação ao desempenho, Kukunin explica:

Um link no primeiro post (https://kukunin.github.io/webminer/) mostra o mesmo Endereço Feathercoin como um exemplo. Isto reforça a ligação entre o reasedoper [.] Pw miner e o minecrunch [.] Co. No entanto, se o objetivo do MineCrunch fosse propor um serviço aberto para mineração distribuída, os lucros gerados pelo reasedoper [.] Pw aparentemente beneficiariam apenas o autor do MineCrunch (ou os proprietários dos endereços codificados), já que é improvável que seja possível especifique um identificador de afiliado. Conclusão

o que é uma bitcoin vale a pena hoje

Mesmo que possa ser considerado uma alternativa aos anúncios tradicionais, esse comportamento é indesejado quando não há consentimento do usuário. A Divisão de Assuntos de Consumo de Nova Jersey considerou que os bitcoins de mineração na máquina de um usuário sem o consentimento equivalem a ter acesso ao computador. Assim, os desenvolvedores de tais serviços devem anunciar claramente antes de iniciar a mineração, o que claramente não é o caso em um esquema de distribuição usando malvertising.

Por fim, os usuários podem se proteger contra esse tipo de ameaça ao ter um complemento de bloqueador de script ou bloqueador de script bem configurado instalado em seus navegadores. Os usuários da ESET podem se proteger desses scripts maliciosos, detectados como aplicativos potencialmente inseguros do JS / CoinMiner.A, permitindo a detecção de aplicativos potencialmente inseguros. Veja https://support.eset.com/kb3204. URLs de Mineração e Malversação de IOCs