Sobre o JS:Miner-C, CoinHive e o suposto Trojan em nosso site!


Alguns usuários tem se queixado que estava recebendo uma notificação de 'Trojan' ao acessar o nosso site desde a última quinta-feira ( 12/10/2017 ), principalmente no Avast algo que nos intrigou. Confira uma nota sobre o problema!

Decidimos investigar, já que para muitos anti-vírus nenhum problema é detectado por não ser um 'Trojan' como muitos estão espalhando por aí, e descobrimos que o problema era que um site conhecido como 'CoinHive', que é um minerador de criptomoedas que usa até 60% do processador dos visitantes sem qualquer notificação ou pedido de consentimento dos visitantes estava ativo em nosso site.

Para nossa surpresa ele estava fazendo conexão com nosso site, através de um javascript, em um site onde está hospedado os arquivos de nosso site, para que ele funcione, já que conta atualmente com a plataforma Blogger, algo que provavelmente foi adicionado pelo administrador do próprio servidor, sem o nosso consentimento que não tem relação com nós, que ficou notável desde a última quarta-feira ( possível data em que ele foi adicionado ) em vários anti-virus como o Avast e até mesmo no decorrer do carregamento do site ( mesmo sem anti-vírus ) como você pode ver na imagem abaixo.

https://i.imgur.com/NQSpsRh.png

Isto pode acontecer em outros sites? Sim! Confira como bloquear:


Ontem fizemos algumas mudanças no site e o site já não faz mais conexão por aqui.

Para não ter mais problemas, e caso ele volte a aparecer por aqui, lhe explicamos como bloquear o minerador:

1. Clique no ícone da Extensão 'Adblock Plus' em seu navegador e em 'Opções'.
2. Clique em 'Adicione seus filtros'.
3. Copie e cole o seguinte url: https://coinhive.com/lib/coinhive.min.js
4. Clique em 'Adicionar filtro'.

https://i.imgur.com/wovodB1.png

Esse scrip é um Trojan? Estou em perigo? Respostas:


Com isso vários usuários criaram uma onda de boatos, sem pesquisar a fundo sobre tal assunto, tanto aqui nos comentários tanto em um Fã Site Oficial, sobre a segurança de sua conta em relação ao suposto Trojan que estava no site. Pesquisamos um pouco na internet e encontramos o seguinte sobre esse scrip:

"O minerador, chamado Coinhive, usava até 60% do processador dos visitantes. Não havia qualquer notificação ou pedido de consentimento para o usuário. Resumindo: O visitante gasta mais energia e poder de processamento ao navegar pelo site."

"O CoinHive foi lançado este mês como uma alternativa a anúncios na web, empresa que fornece um arquivo .js para sites minerarem a criptomoeda Monero. Vários sites da internet tem sido pegos realizando a mesma ação sem alertar os visitantes que é uma prática, no mínimo, antiética."

"A CoinHive até comentou recentemente que não concorda com a ação de sites que mineram criptomoedas sem avisar os usuários e que, infelizmente, estão fazendo isso com o "produto" dela."

"Além disso, o Coinhive vem sendo usado em anúncios maliciosos: o usuário é redirecionado para alertas falsos de vírus ou de atualização do Java e, ainda por cima, seu navegador minera Monero.  Também é possível encontrá-lo em domínios enganosos como “twitter ponto com ponto com”, e em blogs hackeados do WordPress."

"Pelo menos dois bloqueadores de anúncios — AdBlock Plus e AdGuard — já barram o Coinhive de rodar no navegador. E desenvolvedores criaram extensões para o Chrome que fazem o mesmo, incluindo AntiMiner, No Coin e minerBlock."

"O scrip da CoinHive no Jornalivre pode ser encontrado no código-fonte da página, configurado para rodar com a key "jDZBZnZTPKAA7OHq40uuC80DASwwmsJv". Como a Motherboard nota, há uma possibilidade remota do site ter sido hackeado e um terceiro estar rodando a ferramenta. Contudo, a possibilidade mais plausível é que o administrador do Jornalivre está gerando receita com o detrimento do computador dos visitantes do site."

"Quem também se interessou pela novidade foram os hackers. Como código de mineração é visualmente imperceptível, a invasão do site pode passar despercebida por mais tempo, o que aumenta o possível lucro do invasor. O problema normalmente só é percebido quando internautas relatam um consumo absurdo de processamento enquanto o site está aberto. Usuários mais leigos dificilmente saberão diagnosticar o problema."

"Segundo a empresa de segurança Sucuri, hackers estão explorando falhas em sistemas como o WordPress, usado por muitos sites na web, para inserir os códigos derivados do Coinhive. Com isso, os invasores passam a imediatamente receber dinheiro, enquanto os visitantes dos sites sentirão o computador mais lento durante a visita."

"A Sucuri descreveu o funcionamento técnico dos ataques em um texto no blog da empresa (veja aqui). Segundo a companhia, porém, não há nada de diferente nos ataques - a única novidade é que os invasores acrescentam o código de mineração em vez de realizar outras atividades criminosas, como o redirecionamento de anúncios para faturar com a publicidade no lugar do dono da página."

Fontes: GuiadoBitcoin; Tecnoblog; Criptomoedasfacil; Bleepingcomputer; TecMundo; GazetadoPovo; G1 - Globo.


Resumindo: O susposto scrip não realiza sequestro de dados, mas sim, processa diversos hashes através apenas do uso da CPU de seus usuários, neste caso não há invasão de privacidade, basicamente o usuário esta alugando seu CPU para mineração temporária para obter criptomoedas assim gerando receita. Ele vem sendo usado também em anúncios maliciosos que não é o caso. Como citamos no início dessa nota não temos qualquer relação sobre a instalação desse scrip em nosso site!

Caso ainda sofra problemas no site por favor nos avisar para que o mesmo seja resolvido!



~ Habbo News
TAG
Previous Post

15 comentários

  1. Parabéns a vocês que fazem o Habbo news, um site extremamente atencioso e ativo perante os usuarios, estão de parabéns.

    ResponderExcluir
  2. Pior são esse metidos a john mcafee que não sabem porra nenhuma tentando explicar o que era o vírus, tipo o habbovictor.01... teve um outro cara no fórum da Habbid que disse que o trojan Miner serve pra roubar seus dados (hã?)... Mas enfim, obrigado pela nota Nailson, foi um alívio, pensei que teria que depender dos tutoriais malfeitos do bizus

    ResponderExcluir
  3. Aki tambem tava assim ate de madruga nn tava caregando direito o sait i ant virus tamb tava alertando
    Mas tava de boa.espero q resolvam logo entro todo dia melhor sait de duvidas <3nailson meu amante.
    .

    ResponderExcluir
  4. Ontem o Site fico lento mais agora volto ao normal espero que não tenha mais desses virus lixos no seu site faz varredura nele toda semana Nailson.

    ResponderExcluir
  5. Mano, por isso o lag absurdo no Habbo.

    ResponderExcluir
  6. Como sempre uma excelente matéria.
    Sinceramente... poderiam retirar a Pro ou a Beats e por a News como oficial.

    ResponderExcluir
  7. Mas vcs removeram isso do Habbonews?

    ResponderExcluir
  8. E teve gente questionando a qualidade do anti-vírus, dizendo que o erro era do Avast. Me poupe. Cambada de inocentes. Defendem mais um site do que o anti-vírus. Vão idolatrar santo.

    ResponderExcluir
  9. "ele estava fazendo conexão com nosso site, através de um javascript, em um site onde está hospedado os arquivos de nosso site" Qual site é esse, é bom saber pra evitar acessar

    ResponderExcluir
  10. Mano, eu costumava acessar pelo celular com frequência para ver se havia novos emblemas disponíveis e percebi que meu celular praticamente ficava sem memória meio que de repente e eu sempre deixava o app aberto em segundo plano com a aba aberta para depois tendo só que atualizar, e essa semana ocorreu que meu celular ficava meio que impossível de ser utilizado, toda hora ficava 0 de memória, as vezes ficava com apenas pouquíssimos MB e até míseros Kb, sem contar que muitos apps deixavam de funcionar, depois que li sobre esse problema no site, deixei de utilizar o mesmo em meu celular e o problema no mesmo não ocorreu mais, será que tal problema no meu celular se deu pelo problema ocorrido no site da HabboNews? Porque isso nunca tinha acontecido comigo...
    Mayk.

    ResponderExcluir
  11. http://gizmodo.uol.com.br/site-brasileiros-mineradores-bitcoin/

    ResponderExcluir