Tudo sobre cryptojacking
Cryptojacking (também chamado de mineração maliciosa de criptomoedas) é uma ameaça online que se esconde em um computador ou dispositivo móvel e utiliza os recursos da máquina para "minerar" formas de moeda online conhecidas como criptomoedas. Mineradores maliciosos frequentemente chegam através de downloads de navegadores web ou aplicativos móveis desonestos. O cryptojacking pode comprometer todos os tipos de dispositivos, incluindo desktops, laptops, smartphones e até servidores de rede.
Como a maioria dos outros ataques maliciosos ao público computacional, o motivo é lucro, mas ao contrário de muitas ameaças, ele é projetado para permanecer completamente oculto do usuário. Para entender a mecânica da ameaça e como se proteger, vamos começar com um pouco de contexto.
O que são criptomoedas?
Criptomoedas são formas de dinheiro digital que existem apenas no mundo online, sem forma física real. Foram criadas como uma alternativa ao dinheiro tradicional, e ganharam popularidade por seu design futurista, potencial de crescimento e anonimato. Uma das primeiras e mais bem-sucedidas formas de criptomoeda, o Bitcoin, surgiu em 2009, e ganhou reconhecimento público nos anos seguintes.
O sucesso do Bitcoin inspirou dezenas de outras criptomoedas que operam de maneira mais ou menos semelhante. Você pode estar familiarizado com nomes como Ethereum ou Dogecoin, por exemplo. Hoje, pessoas ao redor do mundo usam criptomoedas para comprar coisas, vender coisas e fazer investimentos.
Duas palavras – "criptografia" e "moeda" – se combinam para formar "criptomoeda", que é dinheiro eletrônico, baseado nos princípios da complexa criptografia matemática. Todas as criptomoedas existem como unidades monetárias descentralizadas criptografadas, livremente transferíveis entre os participantes da rede. Ou, de forma mais simples, a criptomoeda é eletricidade convertida em linhas de código, que têm um valor monetário real.
Unidades de criptomoeda (chamadas de "coins") não são nada além de entradas em um banco de dados. Para realizar uma transação que altera o banco de dados, é preciso atender a certas condições. Pense em como você controla seu próprio dinheiro em uma conta bancária. Sempre que você autoriza transferências, retiradas ou depósitos, o banco atualiza o banco de dados com suas novas transações. As criptomoedas funcionam de forma semelhante, mas com um banco de dados descentralizado.
Ao contrário das moedas tradicionais, criptomoedas como o Bitcoin não são respaldadas por um governo ou banco específico. Não há supervisão governamental ou regulador central de criptomoedas. Elas são descentralizadas e geridas em diversos bancos de dados duplicados simultaneamente em uma rede de milhões de computadores que não pertencem a nenhuma pessoa ou organização. Além disso, o banco de dados de criptomoedas funciona como um livro-razão digital. Ele usa encriptação para controlar a criação de novas moedas e verificar a transferência de fundos. Durante todo o tempo, as criptomoedas e seus donos permanecem totalmente anônimos.
A natureza descentralizada e anônima das criptomoedas significa que não há um órgão regulador que decide quanto da moeda liberar em circulação. Em vez disso, a forma como a maioria das criptomoedas entra na circulação é por meio de um processo chamado "mineração de criptomoeda". Sem entrar em muitos detalhes, o processo de mineração essencialmente transforma recursos computacionais em moedas de criptomoeda. No início, qualquer pessoa com um computador podia minerar criptomoedas, mas rapidamente virou uma corrida armamentista.
Hoje em dia, a maioria dos mineradores usa computadores poderosos e construídos especificamente para minerar criptomoedas 24 horas por dia. Logo, as pessoas começaram a procurar novas formas de minerar criptomoedas, e o cryptojacking nasceu. Em vez de pagar por um caro computador de mineração, hackers infectam computadores comuns e os usam como uma rede para fazerem seu trabalho.
Como as pessoas usam criptomoedas?
Os donos de criptomoedas mantêm seu dinheiro em "carteiras" virtuais, que são altamente criptografadas com chaves privadas. Em uma transação, a transferência de fundos entre os donos de duas carteiras digitais requer que um registro dessa troca seja inserido no livro-razão digital descentralizado. Computadores especiais coletam dados das transações mais recentes de Bitcoin ou outras criptomoedas a cada 10 minutos e transformam em um quebra-cabeça matemático. Ali, a transação dentro de um quebra-cabeça aguarda a confirmação.
A confirmação só ocorre quando membros de outra categoria de participantes, chamados mineradores, resolvem independentemente os complexos quebra-cabeças matemáticos que comprovam a legitimidade da transação, completando assim a transação do dono de uma carteira para outra. Normalmente, um exército de mineradores trabalha no quebra-cabeça simultaneamente em uma corrida para ser o primeiro com a solução do quebra-cabeça que autentica a transação.
O minerador que primeiro resolve o problema criptografado recebe uma recompensa, geralmente uma quantidade de nova criptomoeda. Essa abordagem foi especialmente concebida como um incentivo para aqueles que sacrificam o tempo e a potência computacional de seus computadores para manter a rede e criar novas moedas. Como a complexidade dos cálculos dos quebra-cabeças aumentou constantemente ao longo do tempo (e particularmente para o Bitcoin), os mineradores descobriram que mesmo PCs de última geração com um processador potente não conseguem minerar lucrativamente o suficiente para cobrir os custos envolvidos.
Os mineradores intensificaram seu jogo adicionando placas de vídeo sofisticadas, às vezes múltiplas placas, para lidar com os cálculos onerosos. Eventualmente, os mineradores que queriam se manter competitivos passaram a construir enormes fazendas de computadores com hardware dedicado para mineração de criptomoedas em escala comercial. É onde estamos hoje: jogadores sérios de criptomoeda investem muito dinheiro em uma batalha de alto risco contra outros mineradores para resolver o quebra-cabeça primeiro e reivindicar sua recompensa.
Expandir-se para esse esforço massivo é uma corrida armamentista extremamente cara, exigindo muita potência de processamento e eletricidade para aumentar as chances dos mineradores serem lucrativos. Por exemplo, antes de a China fechar as fazendas de criptomoedas naquele país, as contas mensais de energia elétrica chegavam a supostos US$ 80.000.
O que é cryptojacking?
Cryptojacking é um esquema para usar os dispositivos das pessoas (computadores, smartphones, tablets ou até mesmo servidores), sem seu consentimento ou conhecimento, para minerar criptomoeda secretamente às custas da vítima. Em vez de construir um computador de mineração dedicado, os hackers usam o cryptojacking para roubar recursos computacionais dos dispositivos das vítimas. Quando você soma todos esses recursos, os hackers são capazes de competir contra operações sofisticadas de mineração de criptomoedas sem os custos altos.
Se você for vítima de cryptojacking, pode não perceber. A maioria dos softwares de cryptojacking são projetados para permanecer ocultos do usuário, mas isso não significa que ele não esteja causando danos. Este roubo de seus recursos computacionais desacelera outros processos, aumenta suas contas de eletricidade e reduz a vida útil do seu dispositivo. Dependendo de quão sutil é o ataque, você pode notar certos sinais de alerta. Se o seu PC ou Mac desacelera ou usa seu ventilador de resfriamento mais do que o normal, você pode ter motivos para suspeitar de cryptojacking.
A motivação por trás do cryptojacking é simples: dinheiro. Minerar criptomoedas pode ser muito lucrativo, mas obter lucro é praticamente impossível sem meios para cobrir grandes custos. Para alguém com recursos limitados e moral questionável, o cryptojacking é uma maneira eficaz e barata de minerar moedas valiosas.
Como o cryptojacking funciona?
Cryptojackers têm mais de uma maneira de escravizar seu computador. Um método funciona como um malware clássico. Você clica em um link malicioso em um e-mail e ele carrega código de cryptomineração diretamente em seu computador. Uma vez que o seu computador está infectado, o cryptojacker começa a trabalhar 24 horas por dia para minerar criptomoedas, enquanto permanece oculto em segundo plano. Como ele reside em seu PC, é uma ameaça local e persistente que infectou o próprio computador.
Uma abordagem alternativa de cryptojacking é às vezes chamada de mineração drive-by. Semelhante a explorações de publicidade maliciosa exploits, o esquema envolve a incorporação de um trecho de código JavaScript em uma página da web. Depois disso, ele realiza mineração de criptomoedas nos computadores dos usuários que visitam a página.
Nos primeiros casos de mineração drive-by, editores da web envolvidos na mania do bitcoin buscavam complementar sua receita e monetizar seu tráfego, pedindo abertamente permissão aos visitantes para minerar criptomoedas enquanto estivessem em seu site. Eles apresentavam isso como uma troca justa: você tem acesso ao conteúdo gratuito enquanto eles usam seu computador para mineração.
Se você estiver em um site de jogos, por exemplo, provavelmente ficará na página por um tempo enquanto o código JavaScript minera moedas. Então, quando você sai do site, a mineração criptográfica também é encerrada e seu computador é liberado. Em teoria, isso não é tão ruim, desde que o site seja transparente e honesto sobre o que estão fazendo, mas é difícil ter certeza de que os sites estão jogando limpo.
Versões mais maliciosas de mineração drive-by não se preocupam em pedir permissão e continuam funcionando muito depois de você sair do site inicial. Esta é uma técnica comum para proprietários de sites duvidosos, ou hackers que comprometeram sites legítimos. Os usuários não têm ideia de que um site que visitaram tem usado seu computador para minerar criptomoedas. O código usa apenas recursos de sistema suficientes para permanecer desapercebido. Embora o usuário pense que as janelas visíveis do navegador estão fechadas, uma janela oculta permanece aberta. Geralmente é um pop-under que é ajustado para se encaixar sob a barra de tarefas ou atrás do relógio.
A mineração drive-by pode até infectar seu dispositivo móvel Android. Funciona com os mesmos métodos que são direcionados a desktops. Alguns ataques ocorrem através de um Trojan escondido em um aplicativo baixado. Ou os telefones dos usuários podem ser redirecionados para um site infectado que deixa um pop-under persistente. Há até um Trojan por aí que invade telefones Android com um instalador tão nefasto que pode sobrecarregar o processador a ponto de o telefone superaquecer, fazer a bateria inchar e essencialmente deixar seu Android à beira da morte. Então tem isso.
Você pode pensar: "Por que usar meu telefone e seu poder de processamento relativamente menor?" Mas quando esses ataques acontecem em massa, o grande número de smartphones por aí soma uma força coletiva que vale a atenção dos cryptojackers.
Alguns profissionais de segurança cibernética observam que, ao contrário da maioria dos outros tipos de malware, os scripts de cryptojacking não causam danos aos computadores ou dados das vítimas. Mas roubar recursos da CPU tem consequências. Claro, o desempenho mais lento do computador pode ser apenas um incômodo para um usuário individual. Mas para organizações maiores que podem ter sofrido muitos sistemas cryptojackeados, há custos reais. Custos de eletricidade, custos de trabalho de TI e oportunidades perdidas são apenas algumas das consequências do que acontece quando uma organização é afetada por mineração drive-by.
Quão comum é o cryptojacking?
Nos últimos anos, o cryptojacking se tornou um tipo de ameaça bastante comum, alcançando popularidade em 2017 e 2018. Em fevereiro de 2018, o Malwarebytes Labs publicou que a criptomineração maliciosa tinha se tornado o tipo de detecção mais comum desde setembro de 2017. Em outubro de 2017, a Fortune sugeriu que o cryptojacking é a próxima grande ameaça de segurança. No primeiro trimestre de 2018, vimos um aumento de 4.000% nas detecções de malware de cryptojacking baseado em Android.
Durante esse período, os cryptojackers continuaram a aprimorar suas estratégias, invadindo hardware cada vez mais poderoso. Um exemplo é um incidente em que criminosos cryptojackearam a tecnologia operacional de uma rede de controle de uma utilidade de água europeia, degradando a capacidade dos operadores de gerenciar a planta de utilidades. Em outro exemplo do mesmo relatório, um grupo de cientistas russos supostamente usou o supercomputador de sua instalação de pesquisa e de ogivas nucleares para minerar Bitcoin.
Mais recentemente, enquanto outros tipos de malware aumentaram em prevalência e ganharam manchetes internacionais (por exemplo, ransomware em 2021), o cryptojacking tornou-se um tipo de ameaça relativamente comum. Em nosso Relatório de Estado de Malware de 2021, observamos que BitCoinMiner permaneceu a maior ameaça empresarial para computadores Windows, e para consumidores, computadores Mac, em particular, viram um aumento em ladrões/mineradores de criptomoeda.
Embora o cryptojacking não esteja fazendo tantas manchetes quanto fez em 2017 e 2018, ele permanece uma maneira relativamente de baixo risco para agentes de ameaça ganharem dinheiro com os recursos de outras pessoas, então é importante proteger seus dispositivos desse tipo de ameaça.
Como me proteger contra o cryptojacking?
Seja você criptografado localmente no seu sistema ou através do navegador, pode ser difícil detectar a intrusão manualmente após o fato. Da mesma forma, encontrar a origem do alto uso de CPU pode ser complicado. Os processos podem estar se escondendo ou se mascarando como algo legítimo para impedir que você interrompa o abuso. Como um bônus para os cryptojackers, quando seu computador está funcionando na capacidade máxima, ele ficará ultra lento, sendo mais difícil de solucionar problemas. Como em todas as outras precauções contra malware, é muito melhor instalar segurança antes de se tornar uma vítima.
Uma opção óbvia é bloquear o JavaScript no navegador que você usa para navegar na web. Embora isso interrompa a mineração drive-by, isso também pode bloquear você de usar funções que você gosta e precisa. Existem também programas especializados, como "No Coin" e "MinerBlock", que bloqueiam atividades de mineração em navegadores populares. Ambos possuem extensões para Chrome, Firefox e Opera. As versões mais recentes do Opera até têm o NoCoin integrado.
No entanto, nossa sugestão é evitar uma solução dedicada e procurar um programa de cibersegurança mais abrangente. O Malwarebytes Premium, por exemplo, protege você não apenas do cryptojacking. Também previne malware, ransomware, e muitas outras ameaças online. Seja através de malware, de um download drive-by baseado em navegador ou de um Trojan (como o Emotet), você está protegido contra cryptojacking.
Em um cenário de ameaças que está constantemente mudando, se manter seguro contra as últimas ameaças como o cryptojacking é um trabalho de tempo integral. Com o Malwarebytes Premium, você terá os meios para detectar e limpar qualquer tipo de intrusão e garantir que os recursos do seu computador permaneçam somente seus.
(Para mais informações, veja “Como proteger seu computador contra mineração maliciosa de criptomoedas” de Pieter Arntz.)
Notícias sobre cryptojacking
- Carteira fria, carteira quente, ou carteira vazia?
- Contêineres de criptomineração flagrados cunhando criptomoedas secretamente
- Aplicativo falso da Trezor rouba mais de US$ 1 milhão em criptomoedas
- Novo criptomineração para Mac que o Malwarebytes detecta como Bird Miner é executado emulando Linux.
- Cryptojacking na era pós-Coinhive
- Campanha de mineração drive-by mira milhões de usuários de Android
- Como proteger seu computador de criptomineração maliciosa
- Criptomineração persistente chegando a um navegador perto de você
- Um olhar sobre o fenômeno global de mineração de criptomoedas drive-by
- Uma olhada nos ataques do lado do cliente do Drupalgeddon
- O estado da criptomineração maliciosa
- Ladrões de banco 2.0: roubo digital e criptomoedas roubadas