CoffeeMiner obliga a los usuarios de wifi públicas a minar Monero
La criptografía clandestina utilizando computadoras de víctimas desprevenidas se ha convertido en un fenómeno en rápida proliferación, y ahora ha unido con el secuestro de wifi en la cafetería.
Un desarrollador de software conocido como Arnau Code ha desarrollado una prueba de concepto para un ataque de hombre en el medio (MiTM), para usar en cafeterías y otros lugares donde legiones de estudiantes y trabajadores aprovechan el wifi gratuito. Muestra cómo los ciberatacantes pueden obtener acceso no solo a los recursos de la CPU de una víctima para extraer la divisa virtual, sino también a toda la potencia de cómputo conectada a esa red wifi en particular, todo a la vez.
"Hace algunas semanas leí sobre este caso de Starbucks donde los ciberatacantes secuestraron computadoras portátiles en la red Wifi para usar los dispositivos de cómputo para extraer criptomonedas, y pensé que podría ser interesante realizar el ataque de otra manera", explicó el desarrollador en un blog, con la advertencia de que su investigación es "estrictamente para fines académicos".
Añadió: "El objetivo de este artículo es explicar cómo se puede hacer el ataque de MiTM para inyectar algunos javascript en las páginas HTML, para forzar a todos los dispositivos conectados a una red wifi a extraer una criptomoneda para el atacante.”
Con el nombre apropiado de CoffeeMiner, la secuencia de comandos permite un ataque autónomo en la red wifi para hacer precisamente eso (minar en una cafetería). Es el resultado de un proceso de varios pasos, pero no desafiante, de acuerdo con el código.
En primer lugar, CoffeeMiner intercepta el tráfico que fluye de ida y vuelta entre los usuarios y el router configurando una puerta de enlace virtual. Luego, utilizando la herramienta de software "mitmproxy", CoffeeMiner inyecta una línea de código JavaScript en las páginas HTML visitadas por los habitantes de cafeterías. El código a su vez se conecta a un servidor HTTP simple que se ejecuta en una máquina atacante, que luego coloca el cripto minero Coinhive a las víctimas. Coinhive, permite a los sitios web visitados extraer la criptomoneda Monero, ha ganado notoriedad gracias a los ciberatacantes que abusan de ella.
"CoinHive Miner tiene sentido cuando el usuario se queda en un sitio web para sesiones de medio a largo plazo", dijo el desarrollador. "Entonces, por ejemplo, para un sitio web donde la sesión promedio de los usuarios es de alrededor de 40 segundos, no tiene mucho sentido. En nuestro caso, como inyectaremos el cripto minero en cada una de las páginas HTML que solicitan las víctimas, [así que] tendremos sesiones a largo plazo para calcular hashes para minar Monero ".
Una vez que se ha creado como un arma completamente formada, CoffeeMiner funciona de manera autónoma, como una especie de generador de dinero de colócalo-y-olvídalo.
Code también ofreció sugerencias útiles para maximizar el potencial de CoffeeMiner, incluyendo el uso de una poderosa antena wifi, "para alcanzar mejor toda la zona física" y agregar un fragmento de código, "sslstrip", para asegurarse de que la inyección también funcione en los sitios web que el usuario puede solicitar a través de HTTPS.
En cuanto a protegerse contra tal ataque, que tiene el potencial de desacelerar las máquinas de la víctima hasta el punto de ser virtualmente inutilizable, Scott Petry, CEO y cofundador de Authentic8, lo comparó con tomar precauciones básicas de la temporada de gripe.
"Ni siquiera tocamos las puertas públicas sin una toalla de papel o un tantito de Purell", dijo por correo electrónico. "¿Por qué en la tierra alguien se conectaría libremente a una red wifi pública? No hay sorpresa en esta historia, es cómo funciona Internet. La sorpresa es que las personas aún se exponen a estas peligros. Algún día, pronto miraremos hacia atrás en estado de shock por lo descuidados que éramos en Internet ".