Criptojacking é um tipo de malware relativamente novo e que gradualmente se tornou um problema generalizado. Usuários mal-intencionados têm injetado códigos de JavaScript em websites e propagandas que utilizam a CPU das vítimas para minerar criptomoedas. A última rede a ser alvo dos criptojackers foi o sistema de propaganda do Google no YouTube.

Como evitar que o Pirate Bay e outros sites sequestrem seu PC para minerar criptomoedas
Sumiram US$ 400 milhões em criptomoeda de uma casa de câmbio japonesa
Sistema de criptomoeda suspeito de pirâmide fecha após pressão de autoridades nos EUA

Como o Ars Technica reportou na última sexta-feira (26), usuários começaram a reclamar nas redes sociais de que algumas propagandas no YouTube estavam ativando seus softwares de antivírus. Especificamente, o software estava reconhecendo um script que permitira minerar a criptomoeda CoinHive.

O script foi originalmente liberado como um fim altruísta que permitiria que sites ganhassem uma grana extra ao usar o poder de processamento de CPU dos visitantes para minerar uma criptomoeda chamada Monero. Isso pode ser usado de forma ética contanto que o site avise o visitante sobre o que está acontecendo. No caso das propagandas do YouTube rodando o script, eles estavam usando cerca de 80% do CPU, e nem o YouTube nem os usuários sabiam o que estava acontecendo direito.

Do Ars Technica:

Na sexta-feira, pesquisadores da empresa de antivírus Trend Micro disseram que propagandas ajudaram a impulsionar um pico de três vezes mais detecções de mineração via web. Eles disseram que os atacantes por trás das propagandas abusaram da plataforma de propaganda DoubleClick, do Google, em países selecionados, como Japão, França, Taiwan, Itália e Espanha.

Em 9 entre 10 casos, as propagandas usavam JavaScripts publicamente disponíveis e fornecidos pela Coinhive, um serviço de mineração de criptomoeda controverso, pois permite que os assinantes lucrem ao usar a CPU do computador dos outros.

A pesquisa da Trend Micro descobriu que em 10% dos casos um script customizado foi usado ainda para minerar a criptomoeda Monero, mas que não dava ao Coinhive os 30% de comissão.

O Gizmodo entrou em contato com o YouTube por causa das descobertas da Trend Micro, e um representante da empresa reconheceu o problema:

Minerar criptomoedas via propagandas é uma forma nova de abuso que viola nossas políticas e isso é algo que temos monitorado ativamente. Nós reforçamos nossas políticas através de uma sistema de detecção multi-camada em nossas plataformas, o qual atualizamos cada vez que novas ameaças aparecem. Neste caso, as propagandas foram bloqueadas em menos de duas horas e os códigos maliciosos foram rapidamente removidos de nossas plataformas.

A parte do comunicado de que as propagandas foram bloqueadas em menos de duas horas não bate com o que a Trend Micro informou — segundo a empresa de segurança, o problema durou pelo menos uma semana. Quando perguntamos ao YouTube sobre essa discrepância, um porta-voz declinou comentar.

No entanto, uma fonte com conhecimento direto de como o YouTube estava lidando com a situação disse ao Gizmodo que o período de duas horas foi aplicado a cada propaganda maliciosa rodada pelos cibercriminosos, não as propagandas de modo geral.

O YouTube aprovou uma propaganda infectada de uma conta de um hacker. Quando a propaganda vai ao ar, os atacantes usam vários códigos para enganar o sistema do YouTube e trocar por um que inclui um script malicioso. Após algumas horas, a propaganda é detectada, tirada do ar, e os usuários que submeteram propagandas maliciosos tiveram suas contas deletadas. Para resumir a história, o YouTube e a rede de propagandas do Google têm um problema constante e em evolução nas suas mãos.

O criptojacking nem é a pior parte de tudo isso. Casos como este estão se tornando cada vez mais frequentes, mas os danos para a privacidade ou o sistema não existem. O pior disso é que alguém (neste caso, o dono de uma chave CoinHive) está usando seu poder de processamento e sua energia elétrica para ganhar dinheiro — e você não recebe nada. Sem querer, você está financiando o cibercrime enquanto o YouTube ganha dinheiro ao mostrar propagandas para você. Em uma perspectiva maior, falhas de segurança estão sendo expostas. Só porque o script não era particularmente perigoso que não significa que poderá ser um ramsomware na próxima vez.

[Ars Technica]