Tudo sobre o cryptojacking
O cryptojacking (também designado por criptomineração maliciosa) é uma ameaça online que se esconde num computador ou dispositivo móvel e utiliza os recursos da máquina para "minerar" formas de moeda online conhecidas como criptomoedas. Os criptomineradores maliciosos surgem frequentemente através de descarregamentos do navegador web ou de aplicações móveis desonestas. O cryptojacking pode comprometer todos os tipos de dispositivos, incluindo computadores de secretária, computadores portáteis, smartphones e até servidores de rede.
Tal como a maioria dos outros ataques maliciosos ao público informático, o motivo é o lucro, mas ao contrário de muitas ameaças, foi concebido para ficar completamente escondido do utilizador. Para compreender a mecânica da ameaça e como se proteger contra ela, vamos começar com um pouco de história.
O que são as moedas criptográficas?
As criptomoedas são formas de dinheiro digital que existem apenas no mundo online, sem qualquer forma física real. Foram criadas como uma alternativa ao dinheiro tradicional e ganharam popularidade devido à sua conceção orientada para o futuro, ao seu potencial de crescimento e ao seu anonimato. Uma das primeiras e mais bem sucedidas formas de criptomoeda, a Bitcoin, foi lançada em 2009 e ganhou reconhecimento nos anos seguintes.
O sucesso da Bitcoin inspirou dezenas de outras criptomoedas que funcionam mais ou menos da mesma forma. Poderá estar familiarizado com nomes como Ethereum ou Dogecoin, por exemplo. Atualmente, pessoas de todo o mundo utilizam as criptomoedas para comprar, vender e fazer investimentos.
Duas palavras - "criptografia" e "moeda" - combinam-se para formar "criptomoeda", que é dinheiro eletrónico, baseado nos princípios da encriptação matemática complexa. Todas as criptomoedas existem como unidades monetárias descentralizadas encriptadas, livremente transferíveis entre os participantes da rede. Ou, dito de forma mais simples, a criptomoeda é a eletricidade convertida em linhas de código, que têm um valor monetário real.
"As unidades de moeda criptográfica (chamadas "moedas") não são mais do que entradas numa base de dados.
As unidades de criptomoeda (chamadas "moedas") não são mais do que entradas numa base de dados. Para efetuar uma transação que altere a base de dados, é necessário cumprir determinadas condições. Pense na forma como controla o seu próprio dinheiro numa conta bancária. Sempre que autoriza transferências, levantamentos ou depósitos, a base de dados do banco é actualizada com as suas novas transacções. As criptomoedas funcionam de forma semelhante, mas com uma base de dados descentralizada.
Ao contrário das moedas tradicionais, as criptomoedas como a bitcoin não são apoiadas por um governo ou banco específico. Não existe uma supervisão governamental ou um regulador central da criptomoeda. É descentralizada e gerida em várias bases de dados duplicadas em simultâneo numa rede de milhões de computadores que não pertencem a nenhuma pessoa ou organização. Além disso, a base de dados da criptomoeda funciona como um livro-razão digital. Utiliza a encriptação para controlar a criação de novas moedas e verificar a transferência de fundos. Durante todo o tempo, a criptomoeda e os seus proprietários permanecem completamente anónimos.
A natureza descentralizada e anónima das criptomoedas significa que não existe um organismo regulador que decida qual a quantidade de moeda a colocar em circulação. Em vez disso, a forma como a maioria das criptomoedas entra em circulação é através de um processo chamado "mineração de criptomoedas". Sem entrar muito em pormenor, o processo de extração transforma essencialmente recursos informáticos em moedas de criptomoeda. No início, qualquer pessoa com um computador podia minerar criptomoedas, mas rapidamente se transformou numa corrida ao armamento.
Atualmente, a maior parte dos mineiros utiliza computadores potentes, construídos para o efeito, que extraem criptomoeda 24 horas por dia. Em pouco tempo, as pessoas começaram a procurar novas formas de minerar criptomoedas e nasceu o cryptojacking. Em vez de pagarem por um computador de mineração dispendioso, os hackers infectam computadores normais e utilizam-nos como uma rede para cumprir as suas ordens.
Como é que as pessoas utilizam as criptomoedas?
Os proprietários de criptomoedas guardam o seu dinheiro em "carteiras" virtuais, que são encriptadas de forma segura com chaves privadas. Numa transação, a transferência de fundos entre os proprietários de duas carteiras digitais exige que um registo desta troca seja introduzido no livro digital público descentralizado. Computadores especiais recolhem dados das últimas transacções de Bitcoin ou de outras criptomoedas a cada 10 minutos e transformam-nos num puzzle matemático. Aí, a transação dentro de um puzzle aguarda confirmação.
A confirmação só acontece quando membros de outra categoria de participantes, chamados mineiros, resolvem de forma independente os complexos puzzles matemáticos que provam a legitimidade da transação, completando assim a transação do proprietário de uma carteira para outra. Normalmente, um exército de mineiros trabalha simultaneamente no puzzle, numa corrida para ser o primeiro a ter a prova do puzzle que autentica a transação.
"Os mineiros descobriram que mesmo os PCs topo de gama com um processador potente não conseguiam extrair o suficiente para cobrir os custos envolvidos."
O mineiro que primeiro resolver o problema encriptado recebe uma recompensa, normalmente uma certa quantidade de novas criptomoedas. Esta abordagem foi especialmente concebida como um incentivo para aqueles que sacrificam o tempo e o poder de computação dos seus computadores para manter a rede e criar novas moedas. Dado que a complexidade dos cálculos do puzzle tem vindo a aumentar ao longo do tempo (e particularmente no caso da Bitcoin), os mineiros descobriram que mesmo os PCs topo de gama com um processador potente não conseguiam minerar de forma suficientemente rentável para cobrir os custos envolvidos.
Os mineiros intensificaram o seu jogo adicionando placas de vídeo sofisticadas, por vezes várias placas, para lidar com os cálculos pesados. Eventualmente, os mineiros que queriam manter-se competitivos passaram a construir enormes quintas de computadores com hardware dedicado à extração de criptomoedas à escala comercial. É aqui que estamos hoje: os jogadores sérios de criptomoedas investem muito dinheiro numa batalha de alto risco contra outros mineiros, a fim de resolver o puzzle primeiro e reclamar a sua recompensa.
Aumentar a escala para este esforço maciço é uma corrida ao armamento extremamente dispendiosa, que exige muito poder de processamento e eletricidade para aumentar as hipóteses de os mineiros serem rentáveis. Por exemplo, antes de a China ter encerrado as explorações de criptomoedas naquele país, as contas mensais de eletricidade atingiam alegadamente 80 000 dólares.
"Se for vítima de cryptojacking, pode não dar por isso".
O que é o cryptojacking?
O cryptojacking é um esquema que consiste em utilizar os dispositivos das pessoas (computadores, smartphones, tablets ou mesmo servidores), sem o seu consentimento ou conhecimento, para minerar secretamente criptomoedas à custa da vítima. Em vez de construírem um computador dedicado à mineração de criptomoedas, os hackers utilizam o cryptojacking para roubar recursos informáticos dos dispositivos das suas vítimas. Quando se juntam todos estes recursos, os piratas informáticos conseguem competir com operações sofisticadas de mineração de criptomoedas sem os custos adicionais.
Se for vítima de cryptojacking, pode não se aperceber. A maior parte do software de cryptojacking foi concebido para se manter oculto do utilizador, mas isso não significa que não esteja a ter os seus efeitos. Este roubo dos seus recursos informáticos torna os outros processos mais lentos, aumenta as suas contas de eletricidade e reduz a vida útil do seu dispositivo. Dependendo do grau de subtileza do ataque, poderá notar alguns sinais de alerta. Se o seu PC ou Mac abrandar ou utilizar a ventoinha de arrefecimento mais do que o normal, pode ter razões para suspeitar de cryptojacking.
A motivação por detrás do cryptojacking é simples: dinheiro. A mineração de criptomoedas pode ser muito lucrativa, mas obter lucro é agora quase impossível sem os meios para cobrir grandes custos. Para alguém com recursos limitados e moral questionável, o cryptojacking é uma forma eficaz e económica de extrair moedas valiosas.
Como é que o cryptojacking funciona?
Os criptojackers têm mais do que uma forma de escravizar o seu computador. Um método funciona como o malware clássico. O utilizador clica numa ligação maliciosa num e-mail e esta carrega o código de mineração de criptomoedas diretamente para o seu computador. Assim que o computador é infetado, o cryptojacker começa a trabalhar 24 horas por dia para minerar criptomoedas, mantendo-se oculto em segundo plano. Como reside no seu PC, é local - uma ameaça persistente que infectou o próprio computador.
Uma abordagem alternativa de cryptojacking é por vezes chamada de drive-by cryptomining. Semelhante às explorações de publicidade maliciosa, o esquema envolve a incorporação de um pedaço de código JavaScript numa página web. Depois disso, executa a extração de criptomoedas nas máquinas dos utilizadores que visitam a página.
"A criptomineração drive-by pode até infetar o seu dispositivo móvel Android ."
Nos primeiros casos de "drive-by cryptomining", os editores da Web apanhados na loucura do bitcoin procuraram complementar as suas receitas e rentabilizar o seu tráfego pedindo abertamente permissão aos visitantes para minerar criptomoedas enquanto estavam no seu site. Apresentavam-no como uma troca justa: o utilizador obtém conteúdo gratuito enquanto eles utilizam o seu computador para mineração.
Se estiver, por exemplo, num site de jogos, é provável que permaneça na página durante algum tempo enquanto o código JavaScript procura moedas. Depois, quando sair do site, a mineração de criptomoedas também se encerra e liberta o seu computador. Em teoria, isto não é assim tão mau, desde que o site seja transparente e honesto sobre o que está a fazer, mas é difícil ter a certeza de que os sites estão a jogar limpo.
Versões mais maliciosas de criptomineração drive-by não se preocupam em pedir permissão e continuam a funcionar muito depois de sair do site inicial. Esta é uma técnica comum para os proprietários de sítios duvidosos ou para os hackers que comprometeram sítios legítimos. Os utilizadores não fazem ideia de que um site que visitaram tem estado a utilizar o seu computador para minerar criptomoedas. O código usa apenas recursos de sistema suficientes para passar despercebido. Embora o utilizador pense que as windows visíveis do navegador estão fechadas, uma janela oculta permanece aberta. Normalmente é um pop-under que é dimensionado para caber sob a barra de tarefas ou atrás do relógio.
A criptomineração drive-by pode até infetar o seu dispositivo móvel Android . Funciona com os mesmos métodos que são utilizados nos computadores de secretária. Alguns ataques ocorrem através de um cavalo de Troia escondido numa aplicação descarregada. Ou os telemóveis dos utilizadores podem ser redireccionados para um site infetado que deixa um pop-under persistente. Existe até um cavalo de Troia que invade os telemóveis Android com um instalador tão nefasto que pode sobrecarregar o processador ao ponto de o telemóvel sobreaquecer, fazer com que a bateria fique cheia e, essencialmente, deixar o seu Android sem bateria. Portanto, é isso.
Pode pensar-se: "Porquê usar o meu telemóvel e o seu poder de processamento relativamente pequeno?" Mas quando estes ataques acontecem em massa, o maior número de smartphones existentes representa uma força colectiva que merece a atenção dos criptojackers.
Alguns profissionais de cibersegurança salientam que, ao contrário da maioria dos outros tipos de malware, os scripts de cryptojacking não causam danos aos computadores ou aos dados das vítimas. Mas o roubo de recursos da CPU tem consequências. Claro, um desempenho mais lento do computador pode ser apenas um aborrecimento para um utilizador individual. Mas para as grandes organizações que podem ter sofrido muitos sistemas de cryptojacking, há custos reais. Custos de eletricidade, custos de mão de obra de TI e oportunidades perdidas são apenas algumas das consequências do que acontece quando uma organização é afetada pelo cryptojacking drive-by.
Qual é a prevalência do cryptojacking?
Ao longo dos últimos anos, o cryptojacking tornou-se um tipo de ameaça bastante comum, aumentando a sua popularidade em 2017 e 2018. Em fevereiro de 2018, Malwarebytes Labs publicou que a criptomineração maliciosa se tinha tornado o tipo de deteção mais comum desde setembro de 2017. Em outubro de 2017, a Fortune sugeriu que o cryptojacking é a próxima grande ameaça à segurança. No primeiro trimestre de 2018, assistimos a um aumento de 4000% nas detecções de malware de cryptojacking Android.
Durante este período, os cryptojackers continuaram a melhorar o seu jogo, invadindo hardware cada vez mais potente. Um exemplo é um incidente em que os criminosos se apoderaram da rede de tecnologia operacional do sistema de controlo de uma empresa europeia de abastecimento de água, degradando a capacidade dos operadores de gerir a instalação. Noutro exemplo do mesmo relatório, um grupo de cientistas russos utilizou alegadamente o supercomputador das suas instalações de investigação e de ogivas nucleares para extrair Bitcoin.
Mais recentemente, embora outros tipos de malware tenham aumentado em prevalência e feito manchetes internacionais(ransomware em 2021, por exemplo), o cryptojacking tornou-se um tipo de ameaça principal. Em nosso Relatório sobre o estado do malware em 2021, observamos que o BitCoinMiner continuou sendo a principal ameaça comercial para computadores Windows e, para os consumidores, os computadores Mac , em particular, viram um aumento nos roubos/mineradores de criptomoedas.
Embora o cryptojacking possa não estar a fazer tantos cabeçalhos como em 2017 e 2018, continua a ser uma forma relativamente pouco arriscada de os agentes de ameaças ganharem dinheiro com os recursos de outras pessoas, pelo que é importante proteger os seus dispositivos contra este tipo de ameaça.
Como é que me posso proteger do cryptojacking?
Quer tenha sido vítima de cryptojacking localmente no seu sistema, ou através do browser, pode ser difícil detetar manualmente a intrusão após o facto. Da mesma forma, encontrar a origem da alta utilização da CPU pode ser difícil. Os processos podem estar a esconder-se ou a mascarar-se como algo legítimo para o impedir de parar o abuso. Como bónus para os cryptojackers, quando o seu computador está a funcionar na sua capacidade máxima, vai funcionar muito lentamente e, portanto, será mais difícil de resolver. Tal como acontece com todas as outras precauções contra malware, é muito melhor instalar segurança antes de se tornar uma vítima.
Uma opção óbvia é bloquear o JavaScript no browser que utiliza para navegar na Web. Embora isso interrompa o "drive-by cryptojacking", pode igualmente bloquear a utilização de funções de que gosta e de que necessita. Existem também programas especializados, como o "No Coin" e o "MinerBlock", que bloqueiam as actividades de mineração em navegadores populares. Ambos têm extensões para o Chrome, Firefox e Opera. As versões mais recentes do Opera até têm o NoCoin incorporado.
"Quer os atacantes tentem utilizar malware, uma transferência drive-by baseada no browser ou um Trojan, está protegido contra o cryptojacking."
No entanto, a nossa sugestão é que evite uma solução criada propositadamente e procure um programa de cibersegurança mais abrangente. Malwarebytes Premiumpor exemplo, protege-o de mais do que apenas o cryptojacking. Ele também evita malware, ransomware e muitas outras ameaças online. Quer os atacantes tentem utilizar malware, um download drive-by baseado no browser ou um Trojan (como o Emotet), está protegido contra o cryptojacking.
Num cenário de ameaças em constante mutação, manter-se a salvo das ameaças mais recentes, como o cryptojacking, é um trabalho a tempo inteiro. Com o Malwarebytes Premiumterá os meios para detetar e limpar qualquer tipo de intrusão e garantir que os recursos do seu computador permanecem apenas seus.
(Para mais informações, consulte "How to protect your computer from malicious cryptomining" (Como proteger o seu computador de criptomineração maliciosa), de Pieter Arntz).
Notícias sobre o cryptojacking
- Carteira fria, carteira quente ou carteira vazia?
- Contentores de criptomineração apanhados a cunhar moeda criptográfica de forma dissimulada
- A aplicação Trezor falsa rouba mais de um milhão de dólares em moedas criptográficas
- Malwarebytes novo criptominerador Mac que Malwarebytes detecta como Bird Miner é executado através da emulação do Linux
- Cryptojacking na era pós-Coinhive
- Campanha de criptomineração dirigida a milhões de utilizadores Android
- Como proteger o seu computador da criptomineração maliciosa
- A criptomineração persistente drive-by está a chegar a um browser perto de si
- Um olhar sobre o fenómeno global de mineração de criptomoedas "drive-by
- Um olhar sobre os ataques do lado do cliente do Drupalgeddon
- O estado da criptomineração maliciosa
- Assaltantes de bancos 2.0: roubo digital e criptomoedas roubadas