Una nueva ronda de minería gris: minería de navegador

Con la llegada de los mineros de JavaScript, los piratas informáticos han ampliado significativamente sus oportunidades para la minería parasitaria de criptomonedas.

La minería gris, o simplemente el uso de dispositivos de usuario para extraer criptomonedas en beneficio de los atacantes, sigue siendo uno de los objetivos de piratería más populares porque... genera ingresos bastante rápidos y considerables para los piratas informáticos. Ya hemos hablado de la minería gris en nuestros artículos "Cuida tus recursos: los mineros están atacando" y "Minería gris: ¿qué es?".

Cada vez hay más opciones nuevas

En el verano de 2017, ocurrió un evento que dio un nuevo impulso al desarrollo de la minería parasitaria: el minero javascript Coinhive, diseñado para la minería Monero, entró en el mercado. Los propietarios de sitios web, al conectarse al servicio Coinhive y colocar el código apropiado en su sitio web, pueden obtener ingresos adicionales utilizando el poder informático de los visitantes de los recursos: mientras el usuario está en el sitio web, su navegador extrae Monero para el propietario del sitio web. Actualmente, según publicwww.com este servicio se utiliza en más de 20 mil sitios. Coinhive fue concebido como una oportunidad para que los propietarios de recursos rechacen la publicidad molesta que roba espacio en el sitio y obtengan ingresos a través de la minería.

Así, en septiembre de 2017, uno de los rastreadores de torrents más famosos, “The Pirate Bay”, mientras buscaba alternativas para ganar dinero con la publicidad, probó un script de minería durante 24 horas. A finales del mismo mes, casi todos los sitios del holding ucraniano Media Holding (Korrespondent.net, Football.ua, iSport.ua, Tochka.net) probaron la minería oculta, pero, tras las quejas de los usuarios en las redes sociales, el script de minería fue eliminado de todos los recursos del holding. Incluso el proveedor de Internet que proporciona acceso a Internet, la cadena de cafés Starbucks de Buenos Aires, no desdeñó la oportunidad de ganar dinero extrayendo Monero en los dispositivos de sus visitantes mientras estos iniciaban sesión en la red.

Desafortunadamente, con bastante rapidez, el script de Coinhive se convirtió en el software no deseado (malware) más común y, después del hackeo, se detectó incluso en recursos tan visitados como The Los Angeles Times, Blackberry, Politifact y Showtime.

Coinhive recibe el 30 % de todas las criptomonedas extraídas utilizando su script. La mayoría de las veces, responden rápidamente a los mensajes (solo directamente de los propietarios de los recursos pirateados) sobre el mal uso de su servicio por parte de los atacantes y bloquean la cuenta del pirata informático, pero al mismo tiempo, el trabajo del script en el sitio pirateado no se detiene y Coinhive comienza a tomar el 100% de lo extraído. Sus especialistas técnicos todavía están trabajando para eliminar esta falla en el sistema, pero hasta ahora “no pueden”, según sus palabras, encontrar una solución efectiva.

Capacidad oculta

Desde la llegada de los mineros de JavaScript, los piratas informáticos tienen otro incentivo para piratear servidores web: después de todo, no sólo puedes ejecutar un minero en el servidor en sí, sino que en todos los sitios alojados en él instalar de forma invisible un minero de secuencias de comandos, que será invisible para el propietario del recurso para extraer Monero. atacante durante bastante tiempo. Los sitios web que se ejecutan en motores WordPress, Magento, OpenCart y Drupal suelen ser pirateados. Al mismo tiempo, el propietario del sitio, en la mayoría de los casos, ni siquiera se da cuenta del hackeo porque... Este hack prácticamente no tiene signos externos. Para protegerse de estos problemas, los administradores del sitio deben actualizar constantemente el software del servidor y los motores del sitio, instalar los últimos parches de seguridad y monitorear periódicamente los cambios en los archivos y datos de los servidores.

Pero es aún más eficaz infectar no sólo un sitio web, sino también un sitio proveedor de contenidos, como un servidor CDN (Red de distribución de contenidos) o un complemento utilizado por muchos otros recursos. En este caso, después de haber infectado un recurso, el atacante infecta inmediatamente todos los sitios que utilizan este complemento.

Entonces, el 11 de febrero de 2018, el complemento Browsealoud del fabricante texthelp, que hace que los sitios sean más fáciles de entender para personas con problemas de visión, fue infectado. El código del minero Coinhive fue ofuscado e incrustado en el cuerpo del complemento y, por lo tanto, se mostró inmediatamente en más de 4200 sitios, incluido algunos recursos gubernamentales de EE. UU. y el Reino Unido (uscourts.gov, legislación.qld.gov.au, manchester.gov.uk, gmc-uk.gov), así como el propio sitio web del desarrollador. El complemento modificado funcionó durante 4 horas antes de que las pruebas de seguridad automatizadas de texthelp lo detectaran. El complemento se desactivó inmediatamente en todos los recursos que lo utilizaban hasta que se completó la investigación.

Además, los atacantes incluso lograron introducir el código minero en la red publicitaria de Google. En la segunda quincena de enero de 2018 aparecieron las primeras menciones de programas antivirus que se activaban al visitar YouTube. Unos días después, los analistas de Trend Micro confirmaron la presencia del script de minería Coinhive en los anuncios, alojado en YouTubepor la plataforma de publicidad DoubleClick de Google. La campaña publicitaria alcanzó su punto máximo los días 23 y 24 de enero, tras lo cual fue bloqueada.

En abril de 2018, se reveló una vulnerabilidad crítica para una de las plataformas más populares para el desarrollo de sitios web, Drupal: Drupalgeddon 2.0. Esta vulnerabilidad permitía a un atacante ejecutar código arbitrario en el recurso atacado, permitiéndole así tomar el control de al menos un sitio web y, como máximo, de todo el servidor. Fue esta vulnerabilidad la que aprovecharon los autores de Kitty, el minero gris más nuevo basado en software abierto para minería basada en navegador webminerpool para penetrar en servidores vulnerables. Al infiltrarse en el servidor, Kitty abre otra oportunidad para un mayor acceso para sus autores y también crea un cronjob que se ejecuta regularmente en el servidor y que descarga una versión nueva de sí mismo una vez por minuto, lo que le da al hacker la capacidad de actualizar rápidamente Kitty y reconfigurar los servidores que están bajo su control. Después de la consolidación final en las profundidades del sistema, Kitty lanza una de las versiones del minero xmrig, que extrae Monero. El script de infección luego procede a agregar una versión similar a la de un navegador a todas las páginas del sitio, inyectando la carga de JavaScript me0w.js en las plantillas de Drupal... El guión finaliza su obra con una sentida inscripción que no puede dejar indiferentes a los amantes de los gatos: “miau, no borres, por favor, soy un lindo gatito inofensivo, miau” (miau, no borres, por favor, soy un lindo gatito inofensivo, miau).

Además de los grandes ataques y hacks aislados descritos anteriormente, la introducción de mineros a los usuarios de redes públicas siempre sigue siendo relevante. Este tipo de piratería se llamó CoffeeMiner y se describió en detalle en el artículo "CoffeeMiner: Hackear WiFi para inyectar un minero de criptomonedas en solicitudes HTML" por un especialista independiente en seguridad de la información conocido como Arnau. Su principio se basa en ataques de tipo Man-in-the-middle (MitM) y su objetivo es cualquier dispositivo conectado a una red WiFi pirateada. 

El atacante inyecta código javascript en cualquier página cargada a través de HTTP, que silenciosamente extrae criptomonedas para su autor. La cura más eficaz para este tipo de minería gris, así como para muchos otros problemas, es utilizar su propia VPN al conectarse a cualquier red pública.

La salida es donde está la entrada.

Por el momento, Coinhive ya no es un monopolio en el mercado de minería basado en navegador. Aparecieron varias soluciones más basadas en él, así como desarrollos propietarios que nunca estuvieron disponibles para el público. Es por eso que la cuestión de la protección contra la minería de navegadores seguirá abierta durante mucho tiempo. ¿Cómo protegerse de la minería de JavaScript gris? Hay varias formas de hacer esto. El más radical de ellos es deshabilitar Javascript en la configuración del navegador. 

Este método es el más efectivo, pero, desafortunadamente, los sitios respetables que usan javascript para su pleno funcionamiento (y estos son la mayoría en este momento) también lo sufren. Otra solución confiable es utilizar bloqueadores de publicidad, antivirus y extensiones especiales de navegador (por ejemplo, minerBlock o NoCoin).

Por ejemplo, Adblock PRO bloquea el minero de Coinhive de forma inmediata. Pero los autores del minero no se quedan quietos: mejoran constantemente el camuflaje del script, lo que dificulta la tarea a los antivirus, por lo que siempre recomendamos utilizar las últimas versiones del sistema y del software antivirus.