El criptojacking puede no estar completamente muerto después del cierre de un notorio servicio de criptominería, pero no es muy saludable, según un documento publicado esta semana.
Los sitios web de criptominería incorporan código JavaScript que obliga al navegador del usuario a comenzar a extraer criptomonedas. El activo digital de elección es normalmente Monero, que a menudo se usa en el cibercrimen debido a sus características mejoradas de anonimato.
Algunos sitios de criptominería solicitó el permiso del visitante cooptar su navegador, a menudo a cambio de bloquear anuncios. Otros lo hicieron subrepticiamente (que es lo que llamamos cryptojacking) De cualquier manera, un nombre seguía apareciendo en estos casos: Coinhive.
Coinhive proporcionó scripts de criptominería de Monero para su uso en sitios web, reteniendo el 30% de los fondos para sí mismo. Apareció en un gran número de sitios de criptominería y criptojacking. Los investigadores los rastrearon con una herramienta llamada CMTracker.
Monero se sometió a una bifurcación dura y su precio se desplomó. Esto contribuyó a que Coinhive cerrara su servicio en marzo de 2019, alegando que la caída de los precios lo hizo económicamente inviable.
Dada la popularidad de Coinhive, ¿qué tan frecuente es el cryptojacking ahora? Eso es lo que los investigadores de la Universidad de Cincinnati y la Universidad de Lakehead en Ontario, Canadá, exploraron en su artículo, llamado ¿Cryptojacking está muerto después del apagado de Coinhive?
Los investigadores revisaron 2,770 sitios web que CMTracker había identificado previamente como sitios de criptominería para ver si todavía estaban ejecutando los scripts. Descubrieron que el 99% de los sitios habían cesado sus actividades, pero que alrededor del 1% (24 sitios) todavía operaban con scripts de trabajo que minaban la criptomoneda. Las verificaciones manuales en un subconjunto de los sitios encontraron que una proporción significativa (11.6%) todavía ejecutaba scripts de Coinhive que intentaban conectarse a los servidores muertos de la operación.
Entonces, ¿de dónde vienen estos nuevos guiones? Los investigadores los encontraron vinculando a ocho dominios distintos con nombres como hashing.win y webminepool.com. La búsqueda en los ocho dominios apareció en 632 sitios web utilizando sus scripts. Con mucho, el más popular fue minero.cc.
Los criptomineros basados en el navegador a menudo buscan ciertas propiedades en línea como sitios de transmisión de películas para ayudar a garantizar que las víctimas permanezcan conectadas, según el periódico. Sin embargo, pueden usar trucos como ventanas emergentes ocultas para mantener una conexión incluso después de que el usuario cierre una pestaña del navegador, y tecnologías como WebSockets, WebWorkers y WebAssembly para hacer conexiones más robustas y aprovechar directamente el hardware del cliente.
Los investigadores dijeron:
El criptojacking no terminó después de que Coinhive se cerró. Todavía está vivo, pero no es tan atractivo como antes. Se volvió menos atractivo no solo porque Coinhive suspendió su servicio, sino también porque se convirtió en una fuente de ingresos menos lucrativa para los propietarios de sitios web. Para la mayoría de los sitios, los anuncios siguen siendo más rentables que la minería.
¿Se mantendrá suprimido el criptojacking basado en navegador? Mucho depende de su rentabilidad. Si Monero o alguna otra moneda compatible con el criptojacking crecieran lo suficiente en valor, sin duda habrá otra prisa por capitalizarlo.
Este estudio no analizó el criptojacking del lado del servidor. Esto ha sido un flagelo para compañías como Tesla, que vio hackers de criptojacking comprometer sus servidores basados en la nube a principios de 2018. Algo similar sucedió con el LA Times. La ventaja de esos ataques es que los servidores siguen minando, mientras que un usuario doméstico puede apagar su computadora portátil o de escritorio al final del día.
Último podcast de Naked Security
ESCUCHA AHORA
Haga clic y arrastre las ondas de sonido a continuación para saltar a cualquier punto del podcast. Tú también puedes escuchar directamente en Soundcloud.
