20/09/2018
Por Igor Valoto, cybersecurity especialist na Trend Micro
Os ataques digitais evoluiram, os cibercriminosos se adaptaram e todos os dias exploraram novas tecnologias. Nossos pesquisadores observam a constante evolução dos ransomwares, os quais a criptografia é empenhada pelo atacante impedindo o acesso da vítima aos próprios dados em tentativa da monetização do resgate. Agora, a atividade maliciosa cada vez mais foca seus esforços na exploração de sistemas baseados em blockchain; tecnologia utilizada para operação das criptomoedas. O uso não autorizado de recursos computacionais terceiros para minerar criptomoedas é chamado cryptojacking.
Para entender o cryptojacking: definições básicas
Antes de nos aprofundarmos neste novo processo cibercriminoso, vamos analisar os conceitos por trás dele.
O cryptojacking gira em torno da mineração de criptomoedas, um processo em que usuários aproveitam sistemas de infraestrutura e seus recursos computacionais para verificar transações digitais e conciliar os algoritmos de função hash associados. Esse processo permite que os usuários criem o próximo bloco de transações no blockchain, o livro razão inalterável digital onde todas as transações em criptomoedas são registradas e compiladas. Depois que uma transação é verificada, o próximo bloco no blockchain é criado – uma vez estabelecidos, os blocos no blockchain e as transações associadas a eles não podem ser ajustadas ou alteradas.
“Sempre que uma transação em criptomoeda é feita, um minerador de criptomoedas é responsável por assegurar a autenticidade da informação e atualizar o blockchain com a transação”, explica a Webopedia. “O próprio processo de mineração inclui competir com outros criptomineradores para solucionar complexos problemas matemáticos com funções hash criptográficas que estão associadas com um bloco que contém os dados da transação", ou seja: o minerador que consegue resolver as funções hash primeiro pode então autorizar a transação e ter um pequeno ganho em criptomoeda por contribuir com o blockchain.
Foi essa natureza competitiva e o potencial de recompensa – apesar de ser apenas uma pequena quantia por transação – que atraiu hackers e outros agentes maliciosos à cena.
Mineração de criptomoedas vs. cryptojacking: qual a diferença?
Usuários legítimos, utilizando-se dos próprios sistemas e do hardware especializado necessário podem praticar a mineração de criptomoedas. Na verdade, como dito acima, esse processo é essencial para verificar as transações que dependem do uso de criptomoedas e para o crescimento contínuo do blockchain, o livro razão inerente a elas.
No entanto, há muita diferença entre a legítima e necessária mineração de criptomoedas e os processos maliciosos do cryptojacking. A diferença aqui está no uso autorizado: mineradores de criptomoedas usam seus próprios sistemas e, portanto, têm permissão de se usar dos seus recursos computacionais para resolver as funções hash associadas e criar o próximo bloco de transação no blockchain. Os que praticam cryptojacking, por outro lado, invadem e usam os sistemas de outras pessoas de maneira não autorizada.
Na mineração de criptomoedas, o minerador é o usuário autorizado do sistema que está sendo usado e colhe uma pequena remuneração em criptomoeda por verificar as transações. No cryptojacking, essa remuneração vai para o hacker que invadiu e está roubando recursos dos sistemas de outros usuários.
Como o articulista do CSO Michael Nadeau explica, o processo de infecção é um tanto semelhante a outros estilos de ataque como ransomware: "Os hackers ou fazem a vítima clicar num link malicioso enviado por e-mail que carrega o código de criptomineração no computador, ou infectam um website ou anúncio online com um código JavaScript que se autoexecuta quando carregado no navegador da vítima," Nadeau escreve. “De qualquer maneira, o código de criptomineração então funciona no background enquanto as vítimas, sem saber disso, usam os computadores normalmente”.
Depois de infectados, os usuários muitas vezes não percebem que seu sistema foi usado para cryptojacking por um intruso não autorizado. Assim, o agente malicioso pode permitir que softwares de criptomineração operem no background e os possibilite ter ganhos verificando transações em criptomoedas.
Como mostra Nadeau, o único sinal mais ou menos óbvio de cryptojacking é uma lentidão ou lag no desempenho ou execução de ações, que também podem ser um sintoma de uma série de outros tipos de infecção ou problemas de sistema.
Campanha de Cryptojacking descoberto: plataforma de suporte em tempo real infectada
Uma prova concreta do aumento do cryptojacking está nas crescentes descobertas de sites infectados, espalhando softwares de criptomineração para visitantes que não suspeitam de nada. A Trend Micro se manifestou justamente numa instância como essa em novembro de 2017, em que uma campanha de cryptojacking consideravelmente grande foi descoberta. Ela girava em torno de uma plataforma de chat em tempo real e suporte.
Pesquisadores de segurança descobriram que cerca 1.500 websites que tinham um widget de plataforma de chat em tempo real e suporte foram infectados e estavam sendo usados para mineração de criptomoedas.
“Uma cópia do minerador in-browser de criptomoedas foi encontrada dentro de um arquivo JavaScript usado pela LiveHelpNow, uma plataforma de chat em tempo real e suporte que estava sendo carregada nos websites”, informou a Trend Micro.
Esse problema é agravado pelo fato de que o código JavaScript não precisa ser instalado especificamente para possibilitar o cryptojacking – os usuários só precisam visitar os sites afetados que tenham o widget do LiveHelpNow com o código do Coinhive. Quando um usuário carrega a página, o código de mineração roda automaticamente dentro do browser.
Muitos dos 1.500 sites afetados pelo widget do LiveHelpNow infectado eram de companhias de e-commerce e pequenos negócios privados. O interessante é que os atacantes escolheram uma ótima hora para implantar o código de criptomineração – logo antes da agitada temporada de compras do fim do ano.
Nomes famosos como Everlast estavam na lista de websites afetados nesta campanha de cryptojacking. Websites de outras organizações – como Politifact, Showtime e até mesmo Pirate Bay – também foram afetados pelo código de criptomineração.
“O uso da CPU dos usuários que acessam os websites afetados dispara enquanto o script da Coinhive minera a criptomoeda Monero para terceiros” explica a Trend Micro.
Para as empresas: prevenção do Cryptojacking
Embora o cryptojacking com certeza seja um risco notório para todos os usuários, a ameaça pode ser muito mais prejudicial para as empresas. Quando os recursos disponíveis de CPU estão sendo usados para sustentar criptomineração, o desempenho de outras plataformas que dependem desses recursos será prejudicado. Isso pode impedir que os empregados consigam trabalhar adequadamente e usar as plataformas da empresa e softwares necessários. E embora a mineração de criptomoedas e o cryptojacking ainda estejam engatinhando, agora é a hora das organizações se prepararem para se defender contra essa ameaça.
Primeiramente, é indispensável incluir o cryptojacking como parte do treinamento de sensibilização de segurança. Quando os funcionários e, especialmente, o pessoal do departamento de TI entender com o que estão lidando, eles podem ajudar a reduzir o risco. Também há extensões de bloqueio de anúncios e anticriptomineração que podem ser instaladas nos navegadores para ajudar a evitar infecções. Proteção dos endpoints e soluções específicas e robustas podem ajudar a proteger organizações e seus usuários através da rápida detecção e bloqueio de arquivos e websites maliciosos.
Aviso: A opinião apresentada neste artigo é de responsabilidade de seu autor e não da ABES – Associação Brasileira das Empresas de Software.