Sobre o JS:Miner-C, CoinHive e o suposto Trojan em nosso site!


Alguns usuários tem se queixado que estava recebendo uma notificação de 'Trojan' ao acessar o nosso site desde a última quinta-feira ( 12/10/2017 ), principalmente no Avast algo que nos intrigou. Confira uma nota sobre o problema!

Decidimos investigar, já que para muitos anti-vírus nenhum problema é detectado por não ser um 'Trojan' como muitos estão espalhando por aí, e descobrimos que o problema era que um site conhecido como 'CoinHive', que é um minerador de criptomoedas que usa até 60% do processador dos visitantes sem qualquer notificação ou pedido de consentimento dos visitantes estava ativo em nosso site.

Para nossa surpresa ele estava fazendo conexão com nosso site, através de um javascript, em um site onde está hospedado os arquivos de nosso site, para que ele funcione, já que conta atualmente com a plataforma Blogger, algo que provavelmente foi adicionado pelo administrador do próprio servidor, sem o nosso consentimento que não tem relação com nós, que ficou notável desde a última quarta-feira ( possível data em que ele foi adicionado ) em vários anti-virus como o Avast e até mesmo no decorrer do carregamento do site ( mesmo sem anti-vírus ) como você pode ver na imagem abaixo.

https://i.imgur.com/NQSpsRh.png

Isto pode acontecer em outros sites? Sim! Confira como bloquear:


Ontem fizemos algumas mudanças no site e o site já não faz mais conexão por aqui.

Para não ter mais problemas, e caso ele volte a aparecer por aqui, lhe explicamos como bloquear o minerador:

1. Clique no ícone da Extensão 'Adblock Plus' em seu navegador e em 'Opções'.
2. Clique em 'Adicione seus filtros'.
3. Copie e cole o seguinte url: https://coinhive.com/lib/coinhive.min.js
4. Clique em 'Adicionar filtro'.

https://i.imgur.com/wovodB1.png

Esse scrip é um Trojan? Estou em perigo? Respostas:


Com isso vários usuários criaram uma onda de boatos, sem pesquisar a fundo sobre tal assunto, tanto aqui nos comentários tanto em um Fã Site Oficial, sobre a segurança de sua conta em relação ao suposto Trojan que estava no site. Pesquisamos um pouco na internet e encontramos o seguinte sobre esse scrip:

"O minerador, chamado Coinhive, usava até 60% do processador dos visitantes. Não havia qualquer notificação ou pedido de consentimento para o usuário. Resumindo: O visitante gasta mais energia e poder de processamento ao navegar pelo site."

"O CoinHive foi lançado este mês como uma alternativa a anúncios na web, empresa que fornece um arquivo .js para sites minerarem a criptomoeda Monero. Vários sites da internet tem sido pegos realizando a mesma ação sem alertar os visitantes que é uma prática, no mínimo, antiética."

"A CoinHive até comentou recentemente que não concorda com a ação de sites que mineram criptomoedas sem avisar os usuários e que, infelizmente, estão fazendo isso com o "produto" dela."

"Além disso, o Coinhive vem sendo usado em anúncios maliciosos: o usuário é redirecionado para alertas falsos de vírus ou de atualização do Java e, ainda por cima, seu navegador minera Monero.  Também é possível encontrá-lo em domínios enganosos como “twitter ponto com ponto com”, e em blogs hackeados do WordPress."

"Pelo menos dois bloqueadores de anúncios — AdBlock Plus e AdGuard — já barram o Coinhive de rodar no navegador. E desenvolvedores criaram extensões para o Chrome que fazem o mesmo, incluindo AntiMiner, No Coin e minerBlock."

"O scrip da CoinHive no Jornalivre pode ser encontrado no código-fonte da página, configurado para rodar com a key "jDZBZnZTPKAA7OHq40uuC80DASwwmsJv". Como a Motherboard nota, há uma possibilidade remota do site ter sido hackeado e um terceiro estar rodando a ferramenta. Contudo, a possibilidade mais plausível é que o administrador do Jornalivre está gerando receita com o detrimento do computador dos visitantes do site."

"Quem também se interessou pela novidade foram os hackers. Como código de mineração é visualmente imperceptível, a invasão do site pode passar despercebida por mais tempo, o que aumenta o possível lucro do invasor. O problema normalmente só é percebido quando internautas relatam um consumo absurdo de processamento enquanto o site está aberto. Usuários mais leigos dificilmente saberão diagnosticar o problema."

"Segundo a empresa de segurança Sucuri, hackers estão explorando falhas em sistemas como o WordPress, usado por muitos sites na web, para inserir os códigos derivados do Coinhive. Com isso, os invasores passam a imediatamente receber dinheiro, enquanto os visitantes dos sites sentirão o computador mais lento durante a visita."

"A Sucuri descreveu o funcionamento técnico dos ataques em um texto no blog da empresa (veja aqui). Segundo a companhia, porém, não há nada de diferente nos ataques - a única novidade é que os invasores acrescentam o código de mineração em vez de realizar outras atividades criminosas, como o redirecionamento de anúncios para faturar com a publicidade no lugar do dono da página."

Fontes: GuiadoBitcoin; Tecnoblog; Criptomoedasfacil; Bleepingcomputer; TecMundo; GazetadoPovo; G1 - Globo.


Resumindo: O susposto scrip não realiza sequestro de dados, mas sim, processa diversos hashes através apenas do uso da CPU de seus usuários, neste caso não há invasão de privacidade, basicamente o usuário esta alugando seu CPU para mineração temporária para obter criptomoedas assim gerando receita. Ele vem sendo usado também em anúncios maliciosos que não é o caso. Como citamos no início dessa nota não temos qualquer relação sobre a instalação desse scrip em nosso site!

Caso ainda sofra problemas no site por favor nos avisar para que o mesmo seja resolvido!



~ Habbo News