Segurança Cibernética

O fim do Coinhive: o fim do cryptojacking?

Michal Salát, 2 Abril 2019

Será que o fim do Coinhive levará ao fim da criptomineração e do cryptojacking baseados em navegadores?

Cryptojacking roubou os holofotes dos ransomwares no final de 2017, tornando-se a maior ameaça virtual que continuava a existir em 2018. No dia 8 de março de 2019, o Coinhive, o serviço que permite que sites de todo o mundo usem os navegadores das vítimas para minerar o Monero, foi desativado. Será que o fim do Coinhive também levará ao fim da criptomineração e do cryptojacking baseados nos navegadores?

A ascensão da criptomineração na internet

As criptomoedas são geradas através da resolução de problemas matemáticos complexos que atendem a certos critérios. O resultado confirma um conjunto de transações. Se tal resultado for encontrado, a primeira pessoa a publicá-lo recebe uma recompensa e as taxas de transação desse conjunto. Várias criptomoedas usam algoritmos diferentes, mas a maioria delas foi implantada em aplicativos de mineração para CPUs e GPUs.

A JavaScript é uma linguagem de programação usada para implementar os aplicativos para mineração e é suportada pela maioria dos navegadores, isto é, nenhum software especial é necessário para mineração, o que a torna uma opção atraente. A maioria de mineradores em JavaScript minera Monero (XMR), porque o algoritmo de mineração é adequado para cálculos em CPU, enquanto que, por exemplo, minerar Bitcoin (BTC) em CPU não faz muito sentido, devido ao algoritmo e à dificuldade de mineração.

A mineração de criptomoedas é um negócio legítimo, mas para fazer isso em grande escala, é necessário um forte poder de computação. Há pessoas que administram grandes fazendas de servidores para ganhar dinheiro com mineração de Bitcoin ou outras criptomoedas. A administração dessas fazendas de servidores exige um alto investimento financeiro tanto em termos de infraestrutura quanto de eletricidade. Por esse motivo, a criptomineração baseada na internet se tornou popular: ela não exige que o minerador instale software adicional e pode ser injetada em sites.

O caminho da mineração para fins particulares até o cryptojacking

Como a maioria das atividades online lucrativas, a criptomineração se tornou um modelo de negócios atraente para os cibercriminosos. Os cibercriminosos começaram a usar, sem pedir permissão, os computadores e os navegadores de outras pessoas para minerar criptomoedas. Esse processo é conhecido como cryptojacking.

Quando se trata de cryptojacking, os cibercriminosos podem instalar softwares nos computadores das vítimas para minerar, ou usar sites, implementando scripts de mineração em seu código. Quando um usuário visita um site infectado, o script começa a minerar criptomoedas, usando o poder de computação do visitante. Instalar remotamente um software em um computador requer habilidade, tempo e esforço. Além disso, as chances de a pessoa perceber que o seu computador está sendo explorado são maiores quando a GPU de seu computador é usada para minerar, porque isso reduz a velocidade de seus dispositivos. Por isso, o cryptojacking baseado em navegador se tornou muito popular: os cibercriminosos sequestram sites para injetar o JavaScript do Coinhive para minerar com os navegadores dos visitantes do site, beneficiando-se do tempo que é passado nos sites infectados.

Cryptojacking na zona cinzenta

Em termos de segurança cibernética, o cryptojacking está em uma zona indefinida. Embora os efeitos do cryptojacking - especialmente do baseado no navegador, que causa principalmente a lentidão do próprio navegador - sejam incômodos, eles não são devastadores e frequentemente os usuários nem sabem que o seu navegador está minerando.

Nem toda criptomineração baseada em navegador é mal-intencionada. Há um uso legítimo dos mineradores de criptomoedas, quando os sites dão aos usuários a opção de minerar e, em troca, evitam a exibição de anúncios ou, no caso da UNICEF, para arrecadar dinheiro para uma causa de caridade. Porém, nós na Avast chegamos a um ponto em que precisávamos decidir se deveríamos ou não bloquear todos os mineradores baseados em navegador para proteger nossa base de usuários do cryptojacking.

Decidimos criar um conjunto de regras rígidas e os mineradores que aderem às regras e solicitam a inclusão na lista de permissões não serão bloqueados, mas aqueles que não fizerem isso serão bloqueados pelo nosso antivírus. Consideramos que a mineração em sites é ética quando a permissão dos usuários é solicitada explicitamente antes do início da mineração e quando eles são informados sobre o processo.

O declínio do cryptojacking

As empresas de segurança que bloqueiam o cryptojacking baseado na internet podem ser um dos muitos motivos do declínio do cryptojacking. Em sua postagem sobre a descontinuação do Coinhive, a equipe do Coinhive mencionou a queda na taxa de hash após a divisão do Monero e a quebra do mercado de criptomoedas e a própria atualização do algoritmo do Monero, que voltará a causar a queda da taxa de hash.

O número de tentativas de cryptojacking no navegador que bloqueamos durante o pico do Monero seguiu as tendências de valor do Monero, como pode ser visto nos gráficos abaixo. O Bitcoin e o mercado de criptomoedas, em geral, mostraram uma tendência semelhante. A decisão do Coinhive de interromper seu serviço nem é tão surpreendente, levando em consideração a queda no valor das criptomoedas e o fato de que o serviço foi frequentemente usado por agentes mal-intencionados para fazer cryptojacking sem pedir permissão aos usuários, resultando no bloqueio do criptominerador pelas empresas de segurança.

O fim de uma era

É difícil prever se o cryptojacking baseado no navegador voltará a surgir depois que a Coinhive interrompeu o seu serviço ou se outro serviço de mineração vai preencher a lacuna do Coinhive. De acordo com o Bad Packets Report, o Coinhive teve uma participação de 62% nos mineradores de sites em agosto de 2018. Mesmo se um outro serviço decidir a preencher a lacuna deixada por eles, ele talvez não seja tão bem-sucedido quanto o Coinhive, se não permitir que os cibercriminosos minerem para obter ganhos financeiros.

A queda constante no valor do Monero e de outras criptomoedas também pode estar forçando os cibercriminosos concentrar a sua atenção em outras atividades mais lucrativas. Um possível aumento no valor do Monero pode fazer com que os criminosos cibernéticos voltem a minerar mais, mas provavelmente fariam isso usando os computadores, caso queiram fazer um esforço adicional.  

No final das contas, ver o Coinhive fechando é uma coisa boa para a segurança, a privacidade e a transparência. Seu modelo de negócios se baseava em reter 30% de todas as moedas extraídas usando seus serviços, e supostamente 100% das moedas extraídas em contas que foram fechadas devido ao abuso. Suas falhas eram claras. Com o valor do Monero caindo significativamente ao longo de 2018, com os hard forks e antivírus atrás deles, era impossível para o Coinhive manter a lucratividade. Pressionado pelas empresas de antivírus, o Coinhive lançou um serviço com aceitação explícita, que nos mostrará o tamanho real do mercado legítimo e se a criptomineração pode, de fato, ser uma alternativa a exibição de anúncios.