El investigador de seguridad Troy Hunt se ha hecho cargo del dominio de cryptojacking Coinhive. El creador de HaveIBeenPwned utiliza el dominio para advertir a decenas de miles de sitios web que todavía tienen el cryptominer en línea.
Ahora que es el dueño de coinhive.com está intentando hacer algo útil con él. De ahi que muestre en los sitios comprometidos una advertencia con un enlace a su página. De esa manera se avisa al visitante y al dueño del dominio de esa información.
Adquisición del dominio coinhive
Troy Hunt, fundador de la base de datos de contraseñas Have I Been Pwned, dice en una entrada de su blog que fue ofrecido de forma gratuita por una persona anónima Coinhive.com en mayo de 2020. Eso sucedió con la condición de que hiciera algo útil con él. Hunt dice que todavía hay mucha gente entrando en el dominio; en su apogeo, había 3,63 millones por día. Coinhive no ha estado disponible durante más de dos años.
Obtuvo tanto el dominio principal de coinhive.com como algunos otros auxiliares relacionados con el servicio. Por ejemplo, cnhv.co, que se utilizaba para su acortador de enlaces (que también provocó que los navegadores minaran Monero). Creó un sitio web y solo registró solicitudes. Cada solicitud resultó en un 404, pero cada solicitud también se incluyó en un registro estándar de Azure App Service.
Cryptojacking
Monero es una criptomoneda de código abierto creada en abril de 2014, que prioriza la privacidad y la descentralización. Coinhive fue el principal esparcidor de malware cryptojacking hace unos años.
El cryptojacking (o minería de criptomonedas maliciosa) es una amenaza emergente de Internet que se oculta en un ordenador o en un dispositivo móvil de un visitante de un sitio web. Utiliza los recursos de la máquina para “extraer” diversas formas de monedas digitales conocidas como criptomonedas. Es una amenaza floreciente que puede apoderarse de navegadores web. Además compromete todo tipo de dispositivos, desde ordenadores de escritorio y portátiles hasta teléfonos inteligentes e incluso servidores de red.
Del mismo modo que otros ataques maliciosos el motivo es es beneficio económico. Además está diseñado para permanecer completamente oculto del usuario.
La herramienta coinhive se distribuyó a menudo como malware y a veces se implementó deliberadamente en sitios web para extraer criptomonedas. Coinhive utilizó un código de JavaScript que monero generó para una dirección de Coinhive. El servicio tuvo unas ganancías de $250,000 al mes en su pico.
El servicio se detuvo en 2018. Mientras tanto, el código de javascript siguió minando en miles de sitios web. Troy hunt logró interceptar después de la adquisición del dominio cuántos sitios todavía estaban tratando de conectarse al servidor original. “Por supuesto, ya no extraen criptografía, pero este sitio todavía contiene JavaScript de un dominio que controlo”, escribe.
Advertencia para avisar a los navegantes (y a los administradores)
Hunt, por lo tanto, ha establecido sitios web que todavía contienen el cryptojacker para mostrar una ventana emergente con una advertencia. Afirma que el sitio ‘trató de ejecutar un cryptominer en el navegador’, que contiene un enlace a su entrada de blog.
Hunt dice que ha estado pensando mucho en si quería hacer eso. “¿Realmente quería personalizar los sitios web de otras personas? Quería que los administradores del sitio web supieran que hay una buena probabilidad de que hayan sido comprometidos, pero ¿de qué otra manera lo haces cuando estás hablando de decenas de miles de sitios?”. Hunt dice que en teoría, podría haber hecho otras cosas con el JavaScript, como la instalación de keyloggers u otro malware.