A ameaça dos mineradores de criptomoedas

A nova tendência em crime digital é fazer o computador da vítima trabalhar minerando criptomoedas. Talvez você esteja pagando esta conta sem saber.

Mineração de moedas via browser não é um fenômeno exatamente novo. Os primeiros abusos das máquinas de usuários começaram em 2011. Mas o lançamento de serviços como o Coinhive, que tornam trivial criar sites que fazem as máquinas dos visitantes minerar criptomoedas, fez esta tática se tornar uma das favoritas entre elementos dispostos a ganhos rápidos e pouco rastreáveis.

O método mais usual é inserir um script no código da página carregada pelo navegador do visitante e que usa a CPU ou GPU do usuário para minerar criptomoedas durante a duração desta visita. Atualmente, a Coinhive paga o equivalente a 1 centavo de dólar para cada 1 milhão de hashes calculados pelo script, o que leva aproximadamente 55 minutos (ou 3.333 segundos) em um PC com um processador Core i7 típico, o que não é muito recompensador quando comparado com o custo de energia. Se você consegue 3.333 usuários para rodar o script por um segundo cada um, você chega no mesmo resultado e sem arcar com o custo de energia.

Embora serviços como o Coinhive não sejam estritamente ilegais, a própria empresa recomenda que o gestor do site informe ao visitante da página que recursos de processamento da estação (e portanto energia elétrica também) estão sendo utilizados para isto. Mas não é o que acontece na maioria dos casos. É fácil localizar páginas que carregam scripts de mineração sem qualquer tipo de notificação ao usuário, o qual talvez perceba maior lentidão do seu computador mas pode nem sequer associar isto com a visita ao site.

Em um exemplo típico, o site legítimo carrega o script do Coinhive, que usa a GPU do visitante para minerar a criptomoeda Monero.

A mineração via o navegador pode acontecer até mesmo sem a ciência da empresa, como foi o caso do Governo de São Paulo, pego no flagra em novembro minerando Monero no portal http://www.cidadao.sp.gov.br/, provavelmente por conta de pessoa interna abusando da sua função.

Os abusos não param por aí. Sites que aceitam anúncios também podem acidentalmente carregar estes scripts, publicados por anunciantes mal intencionados. Nem mesmo o Youtube escapou disto em janeiro, quando foi detectado que anúncios nos videos estavam usando o Coinhive. A ameaça mais grave entretanto não são os sites, já que tem impacto limitado (o script para de rodar quando o visitante fecha a janela). O maior risco está nas botnets e em ataques direcionados a servidores.

Uma única botnet, a Smominru, controlaria estimados 500.000 dispositivos infectados e já teria rendido US$ 3 milhões aos autores

No caso das botnets, várias redes que se dedicavam a DDoS começaram também a aproveitar sua presença resiliente na máquina das vitimas para minerar criptomoedas. Segundo estimativas, uma botnet com 2.000 PCs pode render até 500 dólares por dia em Monero, ou respeitáveis US$182.500 por ano. Uma única botnet, a Smominru, controlaria estimados 500.000 dispositivos infectados e já teria rendido US$ 3 milhões aos autores.

A outra tendência é o ataque específico a servidores, usando quaisquer vulnerabilidades possíveis, para introduzir os mineradores que ficam então rodando em máquinas de alta performance. Isto degrada o desempenho dos servidores, podendo reduzir a vida útil do hardware e gerando ainda custos adicionais de energia elétrica (que no caso do Brasil são especialmente elevados). E aí a conta para a vítima pode ficar extremamente elevada. É o caso por exemplo do WannaMine, um worm que se propaga usando as mesmas técnicas do WannaCry para instalar mineradores em servidores e PCs corporativos.

Por fim, também já apareceram aplicativos para smartphones que também mineram criptomoedas. Apenas no ano passado, 35 aplicativos para Android que eram mineradores mascarados foram detectados e removidos da Google Play, segundo a Symantec.

Felizmente, soluções de proteção de endpoint como o Symantec Enpoint Protection são capazes de bloquear a execução destes scripts. Além disso, a correta proteção dos servidores via uma política adequada de atualização de software e auditorias periódicas de segurança ajudam a assegurar que a sua infraestrutura não seja abusada para este fim.