HomeStiriSecuritate ITCERT-RO: Minarea de criptomonedă este folosită pentru a obține bani din atacarea site-urilor
cert-ro-minarea-de-criptomoneda-este-folosita-pentru-a-obtine-bani-din-atacarea-site-urilor

CERT-RO: Minarea de criptomonedă este folosită pentru a obține bani din atacarea site-urilor

cert-ro-minarea-de-criptomoneda-este-folosita-pentru-a-obtine-bani-din-atacarea-site-urilorCentrul Național de Răspuns la Incidente de Securitate Cibernetică avertizează utilizatorii că site-urile și aplicațiile pot fi victime ale unor atacuri ce folosesc minarea de criptomonedă pentru a obține bani.

În ultima perioadă, o serie de site-uri românești, dar nu numai, au fost compromise prin inserarea unor script-uri care utilizează puterea de procesare a dispozitivelor utilizatorilor pentru minarea de criptomonede, se precizează pe site-ul CERT-RO.

Criptomoneda este o monedă digitală, virtuală și poate fi utilizată ca mijloc de plată. Folosirea prefixului ‘cripto’ arată că acest mijloc de plată utilizează criptografia, ceea ce face aproape imposibilă falsificarea acesteia.  Prin folosirea tehnologiilor descentralizate, se permite utilizatorilor efectuarea unor plăți sigure și anonimizate. Utilizatorul nu mai este obligat să se identifice ca în cazul utilizării serviciilor bancare. Moneda virtuală rulează pe un registru public numit blockchain.

Criptomonedele sunt create printr-un proces denumit minerit (mining), care implică utilizarea procesorului dintr-un dispozitiv, pentru a rezolva probleme complicate de matematică, rezultatul acestora generând monede. Utilizatorii pot cumpăra monedele de la brokeri, apoi le pot stoca sau cheltui folosind portofelele criptografice. Cele mai cunoscute exemple de criptomonedă ar fi Bitcoin, Ethereum, Ripple sau Litecoin.

Recent, un utilizator al rețelei sociale Reddit a publicat capturi de ecran prin care afișa faptul că în codul sursă al unui cunoscut site de știri din România este inserat un script activ care folosește CoinHive, pentru a mina criptomoneda Monero. 

Coinhive funcționează prin furnizarea deținătorilor de site-uri web unui cod Javascript pe care îl pot încorpora în site-ul lor. Acest cod utilizează puterea de procesare a vizitatorilor site-ului pentru a mina Monero. 

Sigur, este o situație avantajoasă pentru ambele părți, deoarece Coinhive păstrează o parte din suma minată, în timp ce proprietarul site-ului păstrează restul. Din nefericire însă, vizitatorii acestor site-uri nu sunt întotdeauna notificați cu privire la faptul că procesorul lor este utilizat la o anumită capacitate, fără acordul lor. Coinhive în sine este o companie legitimă. Cu toate acestea, actorii implicați în aceste operațiuni nu fac întotdeauna ca acest proces să fie transparent.

În urma postului de pe Reddit, specialiști din domeniul securității cibernetice din România au identificat o listă de peste 100 de site-uri  pe care există rulează acest script CoinHive. Din nefericire pentru utilizatorii care vizitau acele site-uri, procesorul era încărcat la capacitate maximă pentru o astfel de activitate de minare a Monero, ceea ce ducea în cele din urmă la blocarea dispozitivului.   

Ulterior, echipa CERT-RO a identificat în spațiul virtual românesc aproximativ 150 de domenii .ro pe care este folosit cod CoinHive pentru minat Monero. Totodată, experții CERT-RO au observat faptul că pentru toate aceste domenii au fost folosite 48 de conturi de CoinHive.

Mai mult, prin folosirea portalului publicwww.com specialiștii CERT-RO au descoperit la nivel global aproximativ 2400 de site-uri care folosesc aceleași conturi de CoinHive ca domeniile românești.

Remediere: 

  • Utilizarea programelor anti malware

Majoritatea programelor antivirus blochează în momentul de față execuția scripturilor care minează monede virtuale.­­ Singura deficiență ar fi faptul că această caracteristică poate fi disponibilă îndeosebi pentru programele cu licență și nu pentru cele gratuite. Malwarebytes este doar un exemplu din multitudinea de soluții existente pe piață care permit blocarea acestor scripturi pentru Windows și Mac, astfel nefiind necesare alte setări suplimentare din partea utilizatorului.

  • Utilizarea extensiilor pentru browser

La nivel de browser, există o suită întreagă de extensii care pot fi instalate atât în browserele utilizate pentru PC, cât și pentru platformele mobile (smartphone, tabletă), dezvoltate pentru a preveni execuția unor astfel de scripturi fără acordul utilizatorului final. Exemple de astfel de extensii sunt:

  No Coin (Google Chrome | Mozilla Firefox | Opera) 

  minerBlock (Google Chrome) 

  ScriptSafe (Google Chrome)

  NoScript Security Suite (Mozilla Firefox)

  Coin-Hive Blocker (Google Chrome)

  Ghostery (Safari | Microsoft Edge) etc.

  • Blocarea manuală a domeniilor

În cazul în care sunt cunoscute domeniile utilizate pentru descărcarea sau distribuirea unor astfel de scripturi, acestea pot fi blocate manual cu ajutorul unei extensii de browser așa cum este AdBlock. Spre exemplu, pentru a bloca domeniul https[:]//coin-hive.com/lib/coinhive.min.js, acesta se adaugă în câmpul de la opțiunea  Customize > Block an ad by its URL.

  • Dezactivarea JavaScript

Dezactivarea rulării JavaScript în browser poate fi o opțiune, cu mențiunea că poate afecta toate site-urile care folosesc JavaScript, acestea fiind destul de multe. De aceea, utilizarea unei aplicații pentru blocarea conținutului poate fi o variantă de preferat. Spre exemplu, 1Blocker este o astfel de aplicație care poată fi instalată pe dispozitivele iPhone și iPad.

  • Actualizarea sistemului de operare și aplicațiilor instalate

Atacurile asupra site-urilor cu cod de cryptocurrency miner par sa faca parte dintr-o tendinta pe care expertii Kaspersky Lab au evidentiat-o in predictiile lor pentru anul acesta, scrie agora.ro

Catea observatii pe aceasta tema au fost facute de Dan Demeter, Security Researcher la Kaspersky Lab, in echipa globala de cercetare si analiza:

Dacă problema este gestionată corespunzător și au acceptul utilizatorului, unele metode de mining de cripto-monede s-ar putea să devină o formă legală de monetizare pentru site-uri și/sau aplicații, care să înlocuiască, în timp, reclamele. Cu alte cuvinte, utilizatorii și-ar oferi, în cunoștință de cauză, resursele, în schimbul accesării conținutului disponibil pe site-urile respective.

Astfel de atacuri sunt posibile din cauza unor vulnerabilități pe care le are fie site-ul, fie firma de hosting și sunt ușor de făcut, multe site-uri fiind sparte și injectându-li-se codul Coinhive în sursă. În ultimele 30 de zile Kasperky Lab a identificat 241 de site-uri care rulează coinhive pe computerele vizitatorilor, dar cercetarea continuă și probabil numărul final va fi mai mare.

 

 

 

Share With: