Segurança Cibernética

Crackers estavam minerando a criptomoeda Monero no site Arenavision sem o conhecimento dos usuários

Michal Salát, 5 Fevereiro 2018

Hackers estavam minerando Monero usando os navegadores dos visitantes sem o conhecimento deles.

Atualização 29/01/2018 4:00 PM CET: A Arenavision entrou em contato com a Avast no Twitter, dizendo que o seu site foi invadido em 16 de janeiro de 2018. A Avast reexaminou o arquivo JQuery e conseguiu confirmar que o site agora está limpo e não contém nenhum algoritmo de mineração. A publicação abaixo foi atualizada para refletir isso.

Um site popular usado para transmissão de eventos esportivos, como futebol, basquete, tênis e outros esportes, está minerando criptomoedas usando CoinHive, sem permissão dos visitantes do site. O site, arenavision[ponto]in, é usado principalmente por usuários espanhóis, seguido por portugueses e mexicanos, de acordo com a Alexa.

As criptomoedas são geradas através da resolução de problemas matemáticos complexos que atendem a certos critérios. O resultado confirma um conjunto de transações. Se tal resultado for encontrado, o primeiro minerador a publicá-lo recebe uma recompensa e as taxas de transação desse conjunto.

Várias criptomoedas usam algoritmos diferentes, mas a maioria deles foi implantada em aplicativos de mineração para CPUs e GPUs. JavaScript é uma linguagem de programação usada para implantar um aplicativo de mineração e é suportada na maioria dos navegadores.

Não é surpreendente ver um site como o Arenavision ser usado indevidamente para mineração. Quanto mais tempo os visitantes ficam em uma página, mais pode ser minerado. Jogos de futebol, por exemplo, duram 90 minutos e a maioria dos telespectadores assiste a partidas inteiras, dando aos crackers tempo para minerar.

A maioria dos mineradores de JavaScript minam Monero (XMR). Isso porque o algoritmo de mineração é adequado para cálculos em CPU, ao passo que minerar BitCoin (BTC), por exemplo, em CPU não faz muito sentido, devido ao algoritmo e à dificuldade de mineração.

De acordo com a SimilarWeb, o Arenavision foi visitado 6,6 milhões de vezes em dezembro, com uma duração média de visita de 3 minutos e 30 segundos. Levando em consideração que a maioria dos visitantes provavelmente acessa o site usando um laptop ou PC para ter uma melhor experiência de exibição, estimamos que seis milhões de visitantes frequentaram o site usando um laptop ou PC em dezembro.

Estimamos aproximadamente que US$ 840 são ganhos mensalmente, com base nos dados do site desde dezembro de 2017, apenas com os visitantes que acessaram a página inicial da Arenavision. Se isso passasse desapercebido, os hackers teriam continuado a lucrar com a mineração. Estimamos o lucro mensal calculando primeiro o hashrate do meu computador (40 hashes por segundo) usando o CoinHive, que é o serviço que foi usado para minerar e o site CryptoCompare para calcular quanto dinheiro eu poderia ganhar se minerasse sem parar em meu PC de trabalho por um mês. Como sabemos, o tempo médio gasto no site foi de três minutos e 30 segundos em dezembro. Também levei em consideração que o CoinHive recebe uma taxa de agrupamento de 30%, que resulta em US$ 360.

Nós não conseguimos, infelizmente, encontrar dados suficientes para calcular quanto foi ganho através da mineração no arenavision2017[ponto]ga, o site para o qual os usuários do Arenavision foram redirecionados para assistir eventos esportivos.

Embora ainda esteja em sua infância, a criptomineração através de sites está em uma área ética cinza. Embora a Arenavision afirme que seu site foi invadido, alguns sites já usam razoavelmente mineradores de criptomoedas para ganho financeiro, fornecendo aos visitantes dos sites a opção de exibir anúncios ou aproveitar uma experiência livre de anúncios em troca de mineração.

No entanto, na maioria dos casos, scripts de mineração são instalados e executados sem notificar usuários. Executar fazendas de servidores para minerar criptomoedas de maneira lícita e rápida exige um alto investimento financeiro, tanto de infraestrutura quanto de eletricidade. Para evitar altos custos, muitos estão começando a minerar usando código de navegador, utilizando PCs existentes de usuários aleatórios e desconhecidos para minerar e lucrar.

Programas de mineração de criptomoedas fazem com que o navegador funcione em uma velocidade mais lenta, exaurindo a bateria do sistema de maneira mais rápida que o normal. Os visitantes do site notarão algum atraso em seus navegadores ou computadores funcionado mais lentamente e ruidosamente, mas não muito mais que isso.

O Avast considera que os sites que mineram criptomoedas sem pedir a permissão dos usuários são malignos e bloqueia scripts que tentam minerar em segundo plano, nas costas dos usuários. Também bloqueamos programas de mineração conhecidos e malignos.

Como descobrir se seu navegador está minerando secretamente e o que você pode fazer sobre isso

Além de usar produtos antivírus que detectam mineração de navegador indesejada, há poucas estratégias que podem ser empregadas para ver se seu navegador está minerando:

  • Verifique para ver quais scripts seu navegador carregou. Se você registrar carga significativa de CPU, ainda que haja apenas uma guia em seu navegador e não estiver executando nada que poderia colocar uma carga significativa em sua CPU, então, pode ser que você esteja sendo usado para minerar criptomoedas.

  • Se você descobrir que um site que você acessa está minerando e usar um bloqueador de propaganda que permita adicionar URLs adicionais à sua lista de “bloqueados”, adicione esse site à sua lista.

  • Procure na Chrome Web Store (ou algo similar) por “miner blockers” (bloqueadores de mineração) e veja os resultados. Os desenvolvedores já criaram maneiras de detectar automaticamente a mineração e impedir que ela aconteça.