Computer Security Um Plugin de Terceiros Comprometido Injeta o Script do...

Um Plugin de Terceiros Comprometido Injeta o Script do Minerador de Monero em Milhares de Sites

monero mining script compromised websitesOs cibercriminosos amam as moedas digitais. Com os valores disparados observados nos últimos meses, e com o nível de anonimato fornecido por algumas moedas digitais, elas são uma forma perfeita de extrair ganhos de atividades ilegais on-line. E um incentivo ainda maior para os criminosos é que eles não precisam necessariamente se engajar socialmente ou enganar as pessoas para conseguirem as moedas digitais. Sob as circunstâncias certas, todos os usuários precisam fazer uma visita a um site e, sem o seu conhecimento, os seus computadores pessoais são repentinamente transformados em plataformas de mineração que completam milhares de cálculos por segundo para gerar dinheiro digital para os cibercriminosos. No domingo, vimos isso acontecendo.

O pesquisador de segurança, Scott Helme, teve um momento de perplexidade quando descobriu que, de repente, alguns sites de alto perfil começaram a usar os computadores dos visitantes para explorar Monero, uma moeda digital que é relativamente fácil de gerar em um PC normal. Entre os sites afetados estavam os do Escritório do Comissário de Informação do Reino Unido, da Polícia Sueca, dos Tribunais dos EUA e de vários portais da Web pertencentes a vários Estados nos EUA. Mais tarde, Helme compartilhou uma lista de pouco mais de 4.000 sites que estavam envolvidos na campanha de mineração, e um rápido olhar revela que muitos deles são administrados por organizações governamentais nos EUA, Grã-Bretanha, Irlanda e Austrália. Isso significa que eles atraem um tráfego significativo, e isso, por sua vez, significa que, apesar do período de silêncio durante a semana, e apesar do script de mineração ter sido projetado para acelerar o uso da CPU (ou seja, não permitir que o processador execute um bate-papo completo), os criminosos conseguiram se aproveitar do hardware de um número razoável de computadores e, provavelmente, fazer com saque significativo. Mas quem são esses criminosos e como eles fizeram isso?

Felizmente, quem quer que sejam, eles realmente não conseguiram se infiltrar nos sistemas de milhares de sites do governo. Em vez disso, eles comprometeram um plugin de terceiros chamado Browsealoud. Browsealoud é um serviço que supostamente torna a navegação um pouco mais fácil para as pessoas com dificuldades de leitura e deficiências visuais. Para ativá-lo, os administradores de sites precisam colar algumas linhas de código eno seu HTML e, com elas, os seus sites buscarão o JavaScript nos servidores do Browsealoud.

Infelizmente, alguém aparentemente teve acesso aos servidores do Browsealoud, abriu o arquivo JS do plugin e injetou um código ofuscado que, quando decodificado, ativa o script de mineração da CoinHive. Helme e alguns outros pesquisadores rapidamente notificaram o Texthelp, o vendedor da Browsealoud, e o serviço foi imediatamente interrompido. Em uma declaração, Texthelp disse que eles estão investigando o assunto.

Quando os sites do governo se comportam mal, as pessoas tendem a ter um comportamento excessivamente paranóico, e isso é compreensível. A verdade é, no entanto, que o ataque de ontem não foi tão grave, e as ações rápidas dos pesquisadores e da Texthelp limitaram o dano. Infelizmente, também deve ser dito que poderia ter sido muito, muito mais devastador.

Ontem, os golpistas decidiram minerar Monero, mas da próxima vez que encontrarem um plugin de terceiros que possa ser explorado (é uma questão de "quando", não de "se"), eles podem decidir usá-lo para algo muito mais sinistro, tal como a implantação de malwares. E porque praticamente todos os sites, grandes e pequenos, usam plugins de terceiros, os usuários não têm como saber quando podem ser vítimas do ataque.

Na sequência da campanha de ontem, Scott Helme e Troy Hunt, outro pesquisador de segurança amplamente reconhecido, escreveram duas postagens sobre o que poderia ser feito para mitigar ataques semelhantes no futuro. Nós, usuários regulares, podemos fazer pouco mais do que esperar que os administradores escutem o que os especialistas têm a dizer e agir antes que seja tarde demais.

Carregando...