En los últimos meses, nos encontramos con algunos archivos JavaScript aparentemente usados para minar criptomonedas directamente dentro del navegador. Ya hace tiempo que los cibercriminales se aprovechan de la minería de estas divisas para obtener ganancias, aunque generalmente usan malware o aplicaciones potencialmente indeseadas que instalan en la máquina de la víctima a tal fin.
Pero en este caso particular, la minería se ejecuta directamente dentro del navegador cuando el usuario navega hacia determinados sitios web. Por lo tanto, no hay necesidad de infectar a la víctima o explotar vulnerabilidades; solo se necesita un navegador con JavaScript activado, lo cual ocurre por defecto en la mayoría de los casos. Este artículo describe la investigación que hicimos para entender mejor esta amenaza.
Comenzamos explorando nuestra telemetría y hallamos que, parcialmente, la amenaza se distribuye usando malvertising. Este tipo de tarea de uso intensivo de la CPU generalmente está prohibida en la mayoría de las redes publicitarias, porque degrada sustancialmente la experiencia del usuario. Minar criptomonedas en el navegador podría parecer contraproducente (sabemos que hacerlo requiere mucha potencia de la CPU), pero los cibercriminales, como veremos más adelante, eligieron divisas que no requieren hardware personalizado para ser creadas. Por otro lado, es más fácil llegar a una cantidad significativa de equipos “infectando” sitios web que infectando a los usuarios particulares.
Aunque esta técnica podría ser usada en cualquier país, notamos que esta campaña en particular impactó principalmente en Rusia y Ucrania. Es importante señalar que esto se debe probablemente al idioma de los sitios web en que se inyectan los scripts, ya que pudimos acceder a ellos desde una dirección IP de los Estados Unidos.
La Figura 1 muestra los cinco países más afectados:
Figura 1: Países afectados por el web miner según la telemetría de ESET LiveGrid®.
La Figura 2 muestra el ranking histórico de Cisco Umbrella Top 1M de uno de los dominios (reasedoper[.]pw) que aloja estos scripts. Notamos un aumento significativo en las consultas de DNS para el dominio durante el período marzo-abril de 2017. El 28 de junio de 2017, reasedoper[.]pw ocupaba el puesto 26.300 de la lista, casi el mismo puesto que el popular sitio para compartir texto GitHub Gist (gist.github.com), que estaba 26.293° en la misma fecha.
Figura 2: reasedoper[.]pw en el ranking Cisco Umbrella Top 1M. Cuanto más abajo, más popular.
Historia
La idea de minar criptomonedas en navegadores no es exactamente nueva. En 2013, un grupo de estudiantes del MIT fundó una compañía llamada Tidbit, que ofrecía un servicio web para minar bitcoins. En vez de mostrar anuncios publicitarios, los webmasters podían incluir los scripts de Tidbit en sus sitios para ganar dinero de esta forma.
Sin embargo, los fundadores del servicio recibieron una citación de la oficina del Fiscal General de Nueva Jersey porque utilizaron el poder de cómputo de los usuarios sin su consentimiento. Finalmente llegaron a un arreglo, pero tuvieron que abandonar su proyecto.
Previamente, muchos otros servicios, como bitp[.]it, proveían minería de bitcoins en navegadores web. Pero debido a la creciente ineficacia del uso de CPU o GPU regulares, estos servicios cerraron. Por ejemplo, bitp[.]it cerró en julio de 2011.
Cómo se distribuye
La distribución de este tipo de script es clave para determinar si es legítimo o indeseado. En este caso, pudimos encontrar dos formas distintas en las que los usuarios se pueden ver forzados a ejecutarlos: malvertising y un snippet de código JavaScript hardcodeado.
La Figura 3 muestra el esquema de distribución global de los scripts de minería:
Figura 3: Esquema de distribución de los scripts de minería.
Malvertising
Como decíamos, el principal método de distribución de los scripts de minería es el malvertising. Generalmente, consiste en comprar tráfico de una red de anuncios y distribuir JavaScript malicioso en vez de un anuncio publicitario tradicional. En esta campaña, no estamos seguros si la inyección del script fue intencional o si listat[.]biz fue comprometido.
De cualquier manera, listat[.]biz es muy sospechoso porque parece imitar a LiveInternet counter (LI stat), que es un contador web legítimo. Además, muchos dominios sospechosos se registraron con la misma dirección de email, incluyendo lmodr[.]biz, que también está presente en la cadena de malvertising.
Los sitios que más tráfico proveyeron a los scripts de minería durante julio de 2017 se muestran en la Figura 4. Advertimos que la mayoría son sitios de streaming de video o de juegos que se juegan desde el navegador, lo cual tiene sentido, porque sus usuarios tienden a pasar mucho tiempo en la misma página cuando miran una película o juegan.
Adicionalmente, esas páginas suelen tener una carga de CPU mayor que lo normal, lo cual escondería la carga adicional del script de minería. Así, le permite ejecutarse más tiempo y aprovechar una mayor capacidad de cómputo.
Figura 4: Sitios web que proveen tráfico a los scripts de minería según la telemetría de ESET LiveGrid®.
El sitio en el que observamos mayor cantidad de impresiones publicitarias maliciosas, okino[.]tv, parece ser particularmente popular. Al momento de escribir este artículo, Alexa Rank lo posicionaba 907 en Rusia y 233 en Ucrania. Algunos de los otros sitios web también parecen ser populares, ya que figuran en el Alexa Top 1000 para Rusia.
Figure 5 – Okino[.]tv Alexa Rank.
La Figura 6 muestra el consumo de CPU cuando se visita el sitio wotsite[.]net:
Figura 6: Consumo de CPU cuando se visita wotsite[.]net.
La Figura 7 provee un ejemplo de la cadena de redirección descrita anteriormente en la Figura 3. Los primeros tres saltos solo inyectan el script provisto por el siguiente salto, como se muestra en las figuras 8, 9 y 10. El primer dominio usado en la redirección (skyadsvideo1[.]ru en nuestro ejemplo) no es siempre el mismo: también hemos visto a code.moviead55[.]ru.
Ambos resuelven hacia las mismas direcciones IP, 167.114.238.246 y 167.114.249.120. Según datos de Whois para el dominio skyad[.]video, cuyo subdominio code.skyad[.]video también resuelve a las mismas IP, los dominios parecen estar relacionados a SkyAdVideo, dueño de una red de anuncios.
Figura 7: Cadena de redirección desde okino[.]tv al script de minería.
Figura 8: Desde la página de inicio de Okino[.]tv
Figura 9: Desde el script en Skyadsvideo1[.]ru/code.php (tras la desofuscación).
Figura 10: lmodr[.]biz/mdstat2.php.
Ua búsqueda en PassiveTotal muestra que listat[.]biz solo redirigía a los scripts, excepto los días 1 de junio y 5 de julio, en los que también redirigía a contadores web reales y a anstatalsl[.]biz. Por lo tanto, parece que lmodr[.]biz y listat[.]biz solo se usan para inyectar los scripts de minería.
Figura 11: listat[.]biz/3.html.
Sorprendentemente, también notamos que moviead55[.]ru, el primer salto, también podía inyectar un miner, que está alojado directamente en este sitio y puede minar la criptomoneda ZCash. Usa un pool ubicado en ws.zstat[.]net:8889, y se comunica a través de web sockets. Sin embargo, no pudimos demostrar similitudes entre su código y el de los scripts alojados en reasedoper[.]pw. Por lo tanto, podemos asumir que hay diferentes grupos tratando de obtener ganancias usando el poder de cómputo de sus visitantes.
Código JavaScript hardcodeado
También encontramos en Google Cache cerca de 60 sitios web inyectados con lo que parece el mismo snippet de JavaScript mostrado en la Figura 10. La página de inicio de estos sitios inyecta un script desde una URL script.php.
Figura 12: Inyección de script en la página de inicio.
Este script llama a URLs de varios dominios, incluyendo static.reasedoper[.]pw, que aloja los scripts JS usados para la minería, cuyo análisis se encuentra en la siguiente sección. Notamos también que uno de los otros dominios inyectados, listat[.]org, comparte direcciones IP con el usado para la campaña de malvertising (listat[.]biz). Otra similitud es el nombre de una función, show_260, que también se usa en esa campaña.
En la sección de IoCs ofrecemos una lista no exhaustiva de dominios afectados, aunque ninguno de ellos parece ser un sitio muy conocido.
Cómo se minan criptomonedas
Varios scripts se alojan en static.reasedoper[.]pw y mataharirama[.]xyz. Los que tienen “multi” en su nombre son multiproceso, mientras que aquellos con “single” usan un solo proceso. Son los archivos JavaScript principales que pondrán en marcha a los trabajadores para minar diferentes criptomonedas. Estos scripts están ligeramente ofuscados: los literales de cadena se escriben solo con la secuencia de escape hexadecimal (“\x42\x43…”).
La Figura 13 muestra que se puede minar Feathercoin, Litecoin y Monero usando este script. Sin embargo, parece que actualmente no están minando Litecoin.
Figura 13: Se pueden minar tres monedas.
Feathercoin y Litecoin están inspiradas en Bitcoin, aunque la principal diferencia es que usan diferentes algoritmos de hash: neoscrypt y scrypt, respectivamente. El objetivo es reducir la necesidad de usar hardware personalizado, como mineros ASIC, en vez de CPUs regulares. Minarlas no solo requiere potencia de la CPU, sino también una gran cantidad de memoria.
La última moneda alternativa, Monero, es diferente a las otras dos. Su característica principal es un nivel de privacidad mayor en comparación con Bitcoin, porque es más difícil rastrear las transacciones dado que el blockchain no es transparente. En particular, usa firmas de círculo para esconder la dirección del remitente entre muchas otras direcciones de remitente posibles. También genera una nueva clave pública para cada transferencia, con el fin de esconder al destinatario real. El algoritmo de hash usado, cryptonight, también requiere mucha memoria. Por lo tanto, tiene sentido que hayan elegido este tipo de monedas alternativas para minar con JavaScript en máquinas regulares.
Como la minería requiere mucho poder de cómputo, no es ninguna sorpresa que el operador haya decidido usar asm.js en vez de JavaScript regular para implementar los algoritmos de hash. Se dice que asm.js es entre 1,5 y 2 veces más lento que la implementación regular de estos algoritmos en C. Se proveen tres de ellos: scrypt.asm.js (Litecoin), cryptonight.asm.js (Monero) y neoscrypt.asm.js (Feathercoin).
Finalmente, la dirección de la billetera Feathercoin es la misma en todos los scripts, mientras que se utilizan varias direcciones de Monero. Sin embargo, varios scripts comparten la misma dirección; por lo tanto, creemos que pertenecen al mismo grupo.
Como la principal característica de Monero es el anonimato, no pudimos acceder a la cantidad de dinero almacenada en las billeteras. En cuanto a Feathercoin, la dirección no figuraba en la red y no estamos seguros por qué, pero podría deberse al uso de un pool para minería.
Relación con web miners anteriores
En los scripts de minería encontramos esta dirección de Feathercoin hardcodeada: 6nmfjYVToBWb2ys4deasdydPj1kW9Gyfp4. Una búsqueda rápida en Gooble muestra que esta dirección se ha estado usando durante varios años.
En un artículo publicado a principios de 2016, un usuario de Internet se quejaba de un script que usaba el 100% de su CPU. Lo que describía es muy similar a lo que hemos analizado y la dirección de Feathercoin coincide. Al momento de descubrirlo, el script estaba alojado en minecrunch[.]co y, al buscar ese dominio, llegamos a una conversación en cryptocurrencytalk.com en la que el usuario Kukunin describe su “humilde servicio, MineCrunch”.
En relación al funcionamiento, Kukunin explica:
“Mientras que la minería clásica con CPU da poca ganancia, la minería distribuida (cientos y miles de visitantes) de una nueva Criptomoneda (que use solo CPU o similar) con velocidad casi nativa (gracias a asm.js) sería muy bueno.
[…]
El miner C Scrypt fue compilado a Javascript usando Emscripten para alcanzar el mejor desempeño. El desempeño es cerca de 1,5x más lento que la aplicación nativa cpuminer”.
Un enlace en el primer post (https://kukunin.github.io/webminer/) muestra la misma dirección de Feathercoin como ejemplo. Esto refuerza la relación entre el miner de reasedoper[.]pw y minecrunch[.]co. Sin embargo, si el objetivo de MineCrunch era proponer un servicio abierto para minería distribuida, las ganancias generadas por reasedoper[.]pw beneficiarían solo al autor de MineCrunch (o a los dueños de las direcciones hardcodeadas), ya que es poco probable que sea posible especificar un identificador del afiliado.
Conclusión
A pesar de la baja en el desempeño al usar un miner JavaScript en vez de un programa nativo, el número de visitantes que recibe el sitio probablemente permite que los operadores obtengan ganancias. En junio, hubo tantas consultas DNS para reasedoper[.]pw como para gist.github.com, según el ranking Cisco Umbrella Top 1M.
Incluso si se puede considerar una alternativa a los anuncios tradicionales, este comportamiento es no deseado cuando no hay consentimiento del usuario. La División de Asuntos del Consumidor de Nueva Jersey consideró que minar bitcoins en la máquina de un usuario sin consentimiento es equivalente a obtener acceso a la computadora. Por lo tanto, los desarrolladores de estos servicios deben anunciarlo claramente antes de iniciar la minería, lo que claramente no es el caso en un esquema de distribución utilizando malvertising.
Por último, los usuarios pueden protegerse contra este tipo de amenazas al instalar un complemento de bloqueo de anuncios o un bloqueador de scripts bien configurado en su navegador. Los usuarios de ESET pueden protegerse de estas secuencias de comandos malintencionadas, detectadas como aplicación potencialmente no deseada JS/CoinMiner.A, habilitando la detección de aplicaciones potencialmente no seguras.
IOCs
URLs de minería y malvertising
| Dominio | URL | Nota |
| static.reasedoper.pw | static.reasedoper[.]pw/launcher.0.single.js static.reasedoper[.]pw/launcher.1.single.js static.reasedoper[.]pw/launcher.2.single.js static.reasedoper[.]pw/launcher.0.multi.js static.reasedoper[.]pw/launcher.1.multi.js static.reasedoper[.]pw/launcher.2.multi.js […] |
Sitio que aloja los scripts de minería. |
| mataharirama[.]xyz | mataharirama[.]xyz/launcher.9.single.js […] |
Copia de reasedoper. Comparten dos direcciones IP:· 163.172.162.231
· 163.172.153.226 |
| listat[.]biz | listat[.]biz/3.html | Redirección a reasedoper[.]pw o mataharirama[.]xyz |
| lmodr[.]biz | lmodr[.]biz/mdstat.php | Redirección a listat[.]biz |
Hash
| Hash (SHA-1) | Nombre de archivo | Detección |
| fa2f4cf2f38383477a0a78d7e3d0841f254c5adf | launcher.0.multi.js | Aplicación potencialmente indeseadaJS/CoinMiner.A |
| b9cd68313b72deac23a53f44ae68598ec139ad27 | launcher.0.single.js | |
| e44c502ff69b6bbe291e8125304203af0f675aa3 | launcher.1.multi.js | |
| 7ce2fb5cea77cbd38cd54533bce81d1b0b0d7a82 | launcher.1.single.js | |
| 3b28b5f079f6d2bdaa028b31a2b5fa9734f832f2 | launcher.2.multi.js | |
| 51b97b46fe53cc5aaedc3f45d6517a74008ca9cd | launcher.2.single.js | |
| 38ccae4555505c8d5f36a9d9c9a20fe80a11304a | launcher.3.multi.js | |
| 2aa56f945c7d3805d3ee7851cdd4e932f1cd3160 | launcher.3.single.js | |
| ae6fe31b8355a3e70d6bf6c89ff7ae18c8de41d0 | launcher.4.single.js | |
| fc7e8fb976cc260ceb680e10713e4640b23dde79 | launcher.4.multi.js | |
| d5482f2f7bab8a8832f65f6ba5dc2edc5e19687f | launcher.5.multi.js | |
| b5d475d9c084d652faabe3888bbda5b673ebe9dd | launcher.5.single.js | |
| 626646c572211e157dceeb4b918b9f46c3c656f5 | launcher.6.single.js | |
| 3c70b32180c2e6ae39006eee867135650c98cfa0 | launcher.6.multi.js | |
| 80c11eb331758a4d6d581ddcb5ebeca9410afe93 | launcher.7.multi.js | |
| 52317c0abdc69f356dd2865c1fd35923f8beb7d3 | launcher.7.single.js | |
| 31d40684cd765ef6625fd9a03d2522d84f0ca79b | launcher.8.single.js | |
| 9bc931ec55d1fed45bec1c571a401f4a201a02cf | launcher.8.multi.js | |
| afae4cf246125671b7eae976c7329b4e0729e109 | launcher.9.multi.js | |
| 3ac2e2d827e39bd802d5e3f7619099696bc38955 | launcher.9.single.js | |
| c4c5f13f0250364bd1321d038d56dbf1a97154f8 | launcher.10.single.js | |
| 29695469e53822602d9b1884c2268a68e80df999 | launcher.10.multi.js | |
| b34216ee46ea1355cbc956514012e74ff9712129 | launcher.11.multi.js | |
| 9394db4ba0ee70673d451547fd4ae40bfea6112d | launcher.11.single.js | |
| 6f0bf3fa4dea541a7293b89661d539bb602218c6 | launcher.12.single.js | |
| 3512351bd8903ae82cc1162fed4faaafceba893d | launcher.12.multi.js | |
| 5adf5146a84699b6aca5e9da52bb629bceaa7726 | launcher.13.single.js | |
| 8c45141791b94e172fd5ad8eaefebe5ebb8e729c | launcher.13.multi.js | |
| 519928629becb1f8b18a56609b03d4cea3c52ddd | launcher.14.multi.js | |
| c5629530af39c99c25f83baee7db4a24a9d0aa03 | launcher.14.single.js | |
| bf3a1151bc4f8188f735583257ecbbd1eaff123f | launcher.15.multi.js | |
| 6e5d2b1b9f1140079f3b48edec09c8515e77e14d | launcher.15.single.js | |
| 12b1bfd6b49c02f928f0429f1505d114583c213c | monero.worker.js | |
| 885f102c9d4dd2e286401756ca265e4aa3f7a664 | scrypt.worker.js |
Dominios con script de inyección hardcodeado
allday[.]in[.]ua
anekbook[.]ru
bike[.]co[.]ua
cg-lab[.]ru
dikobras[.]com
doctrina62[.]ru
ekavuz[.]ru
fenix-45[.]ru
ipnalog[.]ru
jobochakov[.]com
kharkov-arenda[.]com[.]ua
kuzdoska[.]ru
laminirovanievolos[.]ru
marlin-group[.]ru
mat4ast[.]com
megalifez[.]net
mirstihoff[.]ru
munirufa[.]ru
murlyka[.]net[.]ua
newscom[.]ru
obad[.]ru
ogms[.]ru
opinionblog[.]ru
optiplast[.]ru
otdamprimy[.]ru
pcook[.]ru
pogelanie[.]info
posbank[.]ru
programs-tv[.]ru
psinovo[.]ru
scoot-club[.]ru
ska4ka[.]com
stihi[.]by
stihoslov[.]ru
subcar[.]org
sumytex[.]in[.]ua
suntehnic[.]ru
td-klassik[.]ru
trbook[.]com[.]ua
vstupino[.]su
x-sport[.]info
