Minarea de criptomonedă - o nouă metodă de monetizare a atacurilor asupra site-urilor și aplicatiilor web

2018/01/12
Popularitate 1228

În ultima perioadă, o serie de site-uri românești, dar nu numai, au fost compromise prin inserarea unor script-uri care utilizează puterea de procesare a dispozitivelor utilizatorilor pentru minarea de criptomonede.

Criptomoneda este o monedă digitală, virtuală și poate fi utilizată ca mijloc de plată. Folosirea prefixului ‘cripto’ arată că acest mijloc de plată utilizează criptografia, ceea ce face aproape imposibilă falsificarea acesteia.  Prin folosirea tehnologiilor descentralizate, se permite utilizatorilor efectuarea unor plăți sigure și anonimizate. Utilizatorul nu mai este obligat să se identifice ca în cazul utilizării serviciilor bancare. Moneda virtuală rulează pe un registru public numit blockchain.

Criptomonedele sunt create printr-un proces denumit minerit (mining), care implică utilizarea procesorului dintr-un dispozitiv, pentru a rezolva probleme complicate de matematică, rezultatul acestora generând monede. Utilizatorii pot cumpăra monedele de la brokeri, apoi le pot stoca sau cheltui folosind portofelele criptografice. Cele mai cunoscute exemple de criptomonedă ar fi Bitcoin, Ethereum, Ripple sau Litecoin.

Descriere

Recent, un utilizator al rețelei sociale Reddit a publicat capturi de ecran prin care afișa faptul că în codul sursă al unui cunoscut site de știri din România este inserat un script activ care folosește CoinHive, pentru a mina criptomoneda Monero.

Coinhive funcționează prin furnizarea deținătorilor de site-uri web unui cod Javascript pe care îl pot încorpora în site-ul lor. Acest cod utilizează puterea de procesare a vizitatorilor site-ului pentru a mina Monero.

Sigur, este o situație avantajoasă pentru ambele părți, deoarece Coinhive păstrează o parte din suma minată, în timp ce proprietarul site-ului păstrează restul. Din nefericire însă, vizitatorii acestor site-uri nu sunt întotdeauna notificați cu privire la faptul că procesorul lor este utilizat la o anumită capacitate, fără acordul lor. Coinhive în sine este o companie legitimă. Cu toate acestea, actorii implicați în aceste operațiuni nu fac întotdeauna ca acest proces să fie transparent.

Impact

În urma postului de pe Reddit, specialiști din domeniul securității cibernetice din România au identificat o listă de peste 100 de site-uri  pe care există rulează acest script CoinHive. Din nefericire pentru utilizatorii care vizitau acele site-uri, procesorul era încărcat la capacitate maximă pentru o astfel de activitate de minare a Monero, ceea ce ducea în cele din urmă la blocarea dispozitivului.   

Ulterior, echipa CERT-RO a identificat în spațiul virtual românesc aproximativ 150 de domenii .ro pe care este folosit cod CoinHive pentru minat Monero. Totodată, experții CERT-RO au observat faptul că pentru toate aceste domenii au fost folosite 48 de conturi de CoinHive. Mai mult, prin folosirea portalului publicwww.com am descoperit la nivel global aproximativ 2400 de site-uri care folosesc aceleași conturi de CoinHive ca domeniile românești.

Remediere

  1. Utilizarea programelor anti malware

Majoritatea programelor antivirus blochează în momentul de față execuția scripturilor care minează monede virtuale.­­ Singura deficiență ar fi faptul că această caracteristică poate fi disponibilă îndeosebi pentru programele cu licență și nu pentru cele gratuite. Malwarebytes este doar un exemplu din multitudinea de soluții existente pe piață care permit blocarea acestor scripturi pentru Windows și Mac, astfel nefiind necesare alte setări suplimentare din partea utilizatorului.

  1. Utilizarea extensiilor pentru browser

La nivel de browser, există o suită întreagă de extensii care pot fi instalate atât în browserele utilizate pentru PC, cât și pentru platformele mobile (smartphone, tabletă), dezvoltate pentru a preveni execuția unor astfel de scripturi fără acordul utilizatorului final. Exemple de astfel de extensii sunt:

  • No Coin (Google Chrome | Mozilla Firefox | Opera)
  • minerBlock (Google Chrome)
  • ScriptSafe (Google Chrome)
  • NoScript Security Suite (Mozilla Firefox)
  • Coin-Hive Blocker (Google Chrome)
  • Ghostery (Safari | Microsoft Edge) etc.
  1. Blocarea manuală a domeniilor

În cazul în care sunt cunoscute domeniile utilizate pentru descărcarea sau distribuirea unor astfel de scripturi, acestea pot fi blocate manual cu ajutorul unei extensii de browser așa cum este AdBlock. Spre exemplu, pentru a bloca domeniul https[:]//coin-hive.com/lib/coinhive.min.js, acesta se adaugă în câmpul de la opțiunea  Customize > Block an ad by its URL.

  1. Dezactivarea JavaScript

Dezactivarea rulării JavaScript în browser poate fi o opțiune, cu mențiunea că poate afecta toate site-urile care folosesc JavaScript, acestea fiind destul de multe. De aceea, utilizarea unei aplicații pentru blocarea conținutului poate fi o variantă de preferat. Spre exemplu, 1Blocker este o astfel de aplicație care poată fi instalată pe dispozitivele iPhone și iPad.

  1. Actualizarea sistemului de operare și aplicațiilor instalate

De asemenea, pentru minimizarea riscului în ceea ce privește securitatea aplicațiilor web, echipa CERT-RO vă propune parcurgerea următoarelor ghiduri:

  1. Ghid pentru securizarea aplicațiilor și serviciilor web
  2. OWASP Top 10 - 2017

Surse

  1. https://gadgets.ndtv.com/internet/features/how-to-stop-websites-from-using-your-phone-or-computer-to-mine-bitcoin-and-other-cryptocurrencies-1790640
  2. http://www.thewindowsclub.com/block-websites-using-cpu-mine-cryptocurrency
  3. https://www.wired.com/story/cryptojacking-cryptocurrency-mining-browser/
  4. https://www.tomsguide.com/us/coinhive-epidemic-malware,news-26098.html
  5. https://fossbytes.com/block-cryptocurrency-mining-in-browser/
  6. https://www.howtogeek.com/334018/how-to-block-cryptocurrency-miners-in-your-web-browser/
  7. https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/coinhive-miner-the-6th-most-common-malware
  8. https://startechteam.ro/blog/ro/ce-este-criptomoneda-si-de-ce-ea-poate-reprezenta-viitorul-de-pe-piata-financiara/#.Wlh3vqjXY2whttps://start-up.ro/toate-site-urile-romanesti-care-mineaza-criptomonede-cu-ajutorul-tau/