menu

SHARKLABS

Você pode estar Minerando Criptomoedas sem saber

/
/
Você pode estar Minerando Criptomoedas sem saber
bookmark Criptomoedas access_time

Tem algo de errado nesse computador

Faz duas semanas que comecei a notar um processamento alto no Chrome, mas como o navegador havia passado por uma atualização, pensei que fosse algum erro.

Logo depois, enquanto eu utilizava um computador com Windows, o Windows Defender começou a alertar sobre uma conexão supostamente maliciosa com o site coinhive.com.

Minerando criptomoedas com seu site

Pelo que pesquisei na Internet, Coinhive é uma biblioteca para minerar Monero (uma criptomoeda) pelo navegador. Funciona como uma maneira de ganhar dinheiro com sites sem inserir anúncios.

O problema é que pessoas mal intencionadas se aproveitam de falhas de segurança para injetar arquivos JavaScript em sites e seu computador fica minerando criptomoedas sem você saber.

Formatar não bastou

Formatei a partição com Windows e após a instalação de alguns programas o anti-vírus voltou a notificar. Naquele momento pensei que outras partições estariam infectadas.

La foi eu, formatei todas as partições. Mas não adiantou, o antivírus voltou a alertar sobre uma conexão suspeita. Passei vários antivírus, mas eles não encontravam vírus, somente alertavam sobre uma conexão suspeita.

Quando eu olhava no DevTools do Chrome, sempre havia vários arquivos JavaScript da Coinhive injetados em sites confiáveis.

Vírus no Linux, isso não pode ser verdade

Usando outro computador, agora Linux Ubuntu 18.04, notei o mesmo comportamento. Todos os navegadores (chrome e firefox) consumiam alto processamento e vários arquivos da Coinhive estavam presentes em sites confiáveis.

Neste momento, percebi que isso era algo maior que um simples vírus. Pesquisando na internet encontrei uma matéria do G1 falando sobre invasão de roteadores com o objetivo de minerar criptomoedas. Clique aqui para ler a matéria.

Provedor de Internet invadido

Primeiramente cogitei que meus roteados Wi-Fi haviam sido invadidos, mas não. Por incrível que pareça foi meu provedor de internet que sofreu a invasão.

Comprovei isso com um simples teste, usando a internet da 3G não aparecia nenhuma conexão suspeita.

Como eu uso internet a rádio, suspeitei que alguma antena deve ter sido invadida. Alertei o provedor e no dia seguinte estava tudo certo.

Sou programador e essa parte de redes/infraestrutura não é muito minha área, mas fica a dica para os administradores de redes, fiquem atentos a esse tipo de vulnerabilidade.

Dúvidas ou sugestões é só entrar em contato. Abraço.

Autor
"Any fool can write code that a computer can understand. Good programmers write code that humans can understand." Martin Fowler