O que é cryptojacking?

Os hackers usam código de cryptojacking (um tipo de malware) para produzir e coletar criptomoedas valiosas sem incorrer nos custos associados. Essencialmente, eles enganam suas vítimas para que gastem seus próprios recursos sem colher nenhum dos frutos. O cryptojacking é uma ameaça cada vez maior no cenário da cibersegurança. De acordo com o relatório de ameaças cibernéticas de 2024 da Cisco, osincidentes de criptojacking aumentaram 659% em 2023. 

Os recursos para minerar criptomoedas podem ser caros. Ataques de criptojacking bem-sucedidos efetivamente forçam suas vítimas desavisadas a incorrer nos custos do processo de mineração de criptomoedas, enquanto o criptojacker recebe os lucros.

Ataques de criptojacking podem ser realizados na web por meio de scripts de criptojacking baseados em navegadores (geralmente incorporados no código JavaScript em uma página da web) ou por meio de malware de criptojacking entregue como aplicativos ou como vírus do estilo trojan por meio de engenharia social ou ataques de phishing . Desktops, notebooks, servidores, smartphones e outros dispositivos móveis infectados com código de cryptojacking ou software de cryptojacking geralmente sofrem de desempenho drasticamente reduzido, resultando em downtime operacional além de contas de eletricidade mais altas.   

O cryptojacking é diferente de outros tipos de crimes cibernéticos. Enquanto ameaças cibernéticas como exfiltração de dados ou ataques de ransomware geralmente buscam roubar ou se apropriar de dados do usuário, o código de cryptojacking efetivamente rouba poder de processamento e eletricidade. O malware de criptomineração é projetado para injetar nos alvos código malicioso sutil, projetado para evitar a detecção pelo maior tempo possível.   

• Cryptojacking na prática: ataques de criptojacking, também conhecidos como criptomineração maliciosa, tentam comandar dispositivos de computação ou máquinas virtuais (VMs) dos usuários. O cryptojacking funciona liberando secretamente o poder de processamento de vítimas desavisadas para minerar moedas digitais. Os cibercriminosos coletam os lucros gerados por criptomoedas, enquanto as vítimas pagam a conta.  

• Impacto do cryptojacking: as vítimas de cryptojacking sofrem com o aumento dos custos de eletricidade e a diminuição do desempenho do sistema, o que pode danificar o hardware e levar ao superaquecimento. Ataques bem-sucedidos podem comprometer a privacidade de dados da vítima e criar outras ameaças cibernéticas. 

• Vulnerabilidades de cryptojacking: os vetores de ataque são páginas da web, navegadores da web, extensões e plug-ins de navegador, dispositivos da Internet das Coisas (IoT), e-mail e outros aplicativos do tipo mensageiro. O malware de mineração pode infectar a maioria dos tipos de sistemas operacionais populares. Os hackers têm como alvo os principais provedores de software e serviços, como Microsoft e YouTube.     

• Defesa contra cryptojacking: Os métodos recomendados para a defesa contra ataques de cryptojacking combinam detecção e resposta de endpoint (EDR), desarmamento e reconstrução de conteúdo (CDR) e soluções antivírus, gerenciador de tarefas regular e monitoramento do uso da CPU, auditorias da cadeia de suprimentos, bloqueadores de anúncios, bloqueio de scripts, treinamento de pessoal e detecção de ameaças em tempo real.  

Criptomoeda é um tipo de ativo digital sem representação física, mas que pode ser trocado por bens e serviços como uma moeda fiduciária tradicional. Uma das principais inovações das criptomoedas é a possibilidade de enviar fundos diretamente entre as partes sem a necessidade de intermediários. As criptomoedas são criadas com a tecnologia blockchain.

Um blockchain é como um livro-razão virtual que registra todas as transações realizadas em um sistema de blockchain específico. Normalmente as blockchains de criptomoedas são código aberto, permitindo que qualquer pessoa examine o código subjacente.

Além de criptomoedas, os sistemas de blockchain também são úteis em outras aplicações que precisam rastrear e validar qualquer tipo de registro. Além disso, blockchains privados podem ser empregados por sistemas que estão rastreando informações confidenciais. 

• Blockchain: uma blockchain é um livro digital compartilhado e imutável, utilizado para registrar e rastrear transações dentro de uma rede e oferecer uma única fonte de verdade verificada. 

• Criptomoeda: a criptomoeda é um recurso digital gerado pela descriptografia de blocos criptografados de código armazenados em uma blockchain. As unidades de criptomoeda são frequentemente chamadas de moedas ou tokens e são usadas como compensação para usuários que negociam recursos de computação e energia para descriptografar moedas e validar transações na blockchain.

• Mineradores: criptomineradores (ou apenas mineradores) são os usuários que executam o software de criptomineração que gera novos tokens e valida transações na cadeia. 

O que torna uma blockchain tão poderosa é a descentralização. Uma blockchain pública como a utilizada pelo Bitcoin não é armazenada em uma única fonte. Em vez disso, a blockchain é duplicada em um número qualquer de nós — sistemas de computador díspares, cada um executando um software de criptomineração que monitora e verifica a validade da blockchain compartilhada.

Quando uma transação é feita na blockchain, um certo limite de nós deve validar a transação antes que ela seja gravada no livro-razão geral. Esse processo garante que cada transação seja legítima e resolve problemas comuns das moedas digitais, como gastos duplos ou fraudes. Embora as identidades de usuários individuais possam ser anônimas, todas as transações de uma blockchain pública são de conhecimento público disponível para qualquer pessoa com acesso.

No caso das criptomoedas, a blockchain também armazena alguns tokens ou moedas. Essas moedas são criptografadas em problemas matemáticos complicados chamados blocos de hash. Para gerar uma nova moeda, os usuários do sistema da blockchain devem dedicar seus recursos de computação para descriptografar cada hash. Esse processo é chamado de criptomineração e normalmente exige uma enorme quantidade de poder de processamento. Os usuários que usam seus próprios recursos para gerar novas moedas e validar as transações de outros usuários são chamados de mineradores.

Resolver hashes de criptografia e validar transações pode ser caro, tanto em termos de custos de hardware quanto de eletricidade. As moedas são o pagamento para os mineradores que arcam com o custo de hardware e energia. Descriptografar um bloco de hash inteiro exige muito mais recursos do que a validação de uma transação. Isso significa que a verificação de transações é compensada a uma taxa menor, calculada como um percentual proporcional do valor da transação correlacionado aos recursos necessários. 

Uma operação legítima de mineração de criptomoedas pode incorrer em grandes despesas operacionais, na forma de altos custos de eletricidade e hardware caro. Um exemplo podem ser as unidades de processamento gráfico (GPUs) projetadas para melhorar o poder de processamento e a eficiência além do que uma unidade de processamento central (CPU) padrão é capaz de oferecer. No entanto, enquanto algumas criptomoedas como o Bitcoin exigem quantidades extremas de energia e poder de computação, outras moedas, como o Monero, exigem muito menos. 

Um criptojacker bem-sucedido pode conseguir o controle das CPUs (ou qualquer tipo de processador) de várias vítimas. Ele pode efetivamente roubar ciclos de CPU não utilizados e usá-los para realizar cálculos de criptomineração, enviando todas as moedas ganhas para sua própria carteira digital anônima. Juntos, muitos processadores mais lentos ainda podem gerar uma quantidade considerável de criptomoedas. Um criptojacker pode fazer isso diretamente (infectando o computador de um alvo com malware) ou indiretamente (desviando ciclos do processador enquanto um usuário visita um site infectado). 

Há três tipos principais de criptojacking que podem ser usados de forma eficaz, de forma independente ou como abordagem híbrida. Tipos mais avançados de código de criptojacking podem se comportar como um vírus worm, infectando recursos conectados e sofrendo mutação em seu próprio código para evitar a detecção. Estes são os três tipos de cryptojacking:

• Cryptojacking baseado em navegador: esse tipo de cryptojacking é executado diretamente em um navegador da web e não exige que a vítima instale nenhum software adicional. Simplesmente navegando em um site injetado com código de cryptojacking malicioso, os recursos do computador da vítima podem ser desviados para a mineração clandestina de criptomoedas. 

• Criptojacking baseado em host: o criptojacking baseado em host refere-se a malware de cryptojacking baixado no dispositivo ou sistema de um alvo. Como esse tipo de cryptojacking exige que os usuários baixem e armazenem software, pode ser mais fácil detectá-lo. No entanto, também pode trabalhar 24 horas por dia, gerando maior consumo de energia e maior dreno de recursos. 

• Criptojacking baseado em memória: o cryptojacking baseado em memória é mais difícil de detectar e é mais raro do que o cryptojacking baseado em navegador ou host. Esse tipo utiliza técnicas avançadas, como injeção de código e manipulação de memória, para usar RAM para criptomineração em tempo real sem deixar nenhuma evidência. 

Dependendo do tipo de ataque, a maioria dos incidentes de criptojacking segue um processo semelhante de quatro etapas.

A primeira fase de um ataque de cryptojacking gira em torno da exposição de um alvo a códigos maliciosos. Para que um cibercriminoso cometa cryptojacking, ele deve encontrar um método para introduzir algum tipo de script de cryptojacking no sistema da vítima.

Pode ser um e-mail de phishing que engana uma vítima para que baixe um programa de criptomineração, ou pode ser tão inócuo quanto um anúncio com JavaScript em um site respeitável. 

O estágio de implementação começa quando o código malicioso entra no sistema do alvo. Durante essa fase, o script de criptomineração começa a ser executado em segundo plano, atraindo o mínimo de atenção possível para si mesmo. Quanto mais tempo um script de cryptojacking passar despercebido, mais lucrativo poderá ser.

Os "melhores" scripts de criptomineração são projetados para alocar incorretamente o máximo poder de processamento possível sem afetar visivelmente o desempenho do sistema de um alvo. Embora a implementação de um script com consumo de energia relativamente baixo seja do interesse do criptominerador porque os ajuda a evitar a detecção, os códigos de criptojacking são gananciosos por natureza. Muitas vezes consomem recursos em detrimento do desempenho mais amplo do sistema e com despesas maiores de energia. 

Quando a etapa de implementação estiver concluída, a etapa de mineração começa. Após a implementação bem-sucedida, o código de criptojacking começará a usar os recursos de computação do alvo para minerar criptomoedas. Eles conseguem isso resolvendo hashes criptográficos complicados que geram novas moedas ou verificando transações em Blockchain para ganhar recompensas em criptomoedas. 

Todas essas recompensas são enviadas para uma carteira digital controlada pelo criptojacker. As vítimas de criptojacking não têm como reivindicar a criptomoeda gerada pelos recursos pelos quais pagam.

As criptomoedas são mais difíceis de rastrear do que os tipos tradicionais de ativos. Embora algumas moedas sejam mais anônimas do que outras, pode ser impossível recuperar qualquer moeda minerada por meio de cryptojacking. Embora as transações feitas em Blockchain públicas sejam de conhecimento público, é difícil rastrear criptomoedas obtidas de forma ilícita até chegar a cibercriminosos identificáveis. E ferramentas de finanças descentralizadas (DeFi) podem dificultar ainda mais o rastreamento de criptojackers. Essas ferramentas permitem que detentores de criptomoedas reúnam recursos de criptomoedas em ferramentas como pools financeiros que funcionam como oportunidades de investimento tradicionais, pagando dividendos sem precisar sacar o capital inicial. Embora essas ferramentas sejam projetadas e usadas por muitos investidores legítimos, pessoas mal-intencionadas podem aproveitar da natureza descentralizada das criptomoedas para ocultar seus rastros. 

A infiltração é sempre o primeiro passo em qualquer ataque de cryptojacking. O cryptojacking é uma forma perigosa de crime cibernético porque há muitas maneiras de os hackers entregarem código de cryptojacking. Algumas maneiras que o hacker pode usar para infiltrar-se no sistema da vítima-alvo são:

• Phishing: um e-mail de phishing pode conter um link que aciona o download de malware. Uma vítima pode clicar em um link para ver o que parece ser um certificado de presente digital, mas na verdade contém malware, instalando inconscientemente software malicioso de criptomineração sem perceber que foi enganado. 

• Sistemas mal configurados: máquinas virtuais (VMs), servidores ou contêineres mal configurados que ficam expostos publicamente são um convite aberto para hackers que procuram obter acesso remoto não autenticado. Uma vez lá dentro, instalar o software de cryptojacking é um trabalho trivial para cibercriminosos experientes. 

• Aplicação web comprometida: acessar uma aplicação da web com portas não seguras, mesmo de um provedor confiável ou bem-intencionado, pode expor o sistema da vítima ao código de cryptojacking.

• Extensões de navegador infectadas: as extensões de navegador, também conhecidas como complementos ou plug-ins, são programas de software relativamente pequenos usados para melhorar e personalizar a experiência de navegação na web do usuário. Extensões como bloqueadores de anúncios ou gerenciadores de senhas estão disponíveis para a maioria, se não para todos os navegadores populares (como Google Chrome, edge, Mozilla Firefox e Apple Safari). Embora a maioria das extensões seja segura, até mesmo extensões conhecidas e amplamente utilizadas podem ser comprometidas com o código de cryptojacking injetado por agentes desonestos. Embora um desenvolvedor de extensões respeitável esteja inclinado a seguir as melhores práticas de cibersegurança, em um ambiente de ameaças cibernéticas em constante evolução, os hackers atacam constantemente e, ocasionalmente, se infiltram até mesmo nos desenvolvedores mais confiáveis. Utilizando técnicas como vulnerabilidade de dia zero, os hackers podem injetar software de cryptojacking no software dos desenvolvedores mais confiáveis. Ainda mais fácil, os hackers podem criar suas próprias versões falsas de extensões projetadas para induzir os usuários a baixar malware em vez de uma extensão útil e bem testada. 

• JavaScript comprometido: códigos escritos em JavaScript são suscetíveis ao cryptojacking. Os hackers podem carregar ou infectar uma biblioteca JavaScript aparentemente segura, conseguindo a infiltração quando uma vítima inadvertida faz o download do código comprometido.    

• Ameaças internas: ameaças internas, como um funcionário insatisfeito ou mal treinado ou um agente de ameaças com credenciais roubadas também são vetores comuns de ataque para cryptojacking. 

• Ataques baseados na nuvem: os sistemas de computação em nuvem em rede aumentam exponencialmente os vetores de ataques para cibercriminosos, e o cryptojacking não é exceção. O recente e constante aumento de aplicações de inteligência artificial (IA) baseadas em nuvem, como grandes modelos de linguagem (LLMs), cria ainda mais oportunidades para ataques de criptojacking que podem se infiltrar em apenas um nó e se espalhar por toda uma rede.

Para pessoas, executar software de criptomineração em segundo plano em computadores usados para outras tarefas não é rentável. No entanto, em grande escala, esses pequenos ganhos podem se somar. O cryptojacking pode ser lucrativo quando hackers bem-sucedidos conseguem infectar muitos sistemas individuais. Especialmente porque os criptohackers não estão pagando os custos de hardware ou energia. 

Em geral, como a criptomineração é um procedimento que consome muitos recursos, os criptomineradores legítimos quase sempre usam hardware dedicado e de primeira linha para suas operações. Embora alguns hardwares de nível empresarial ou mesmo de consumo sejam capazes de minerar criptomoedas, as melhores práticas não recomendam dedicar menos de 90% dos recursos às operações. 

Embora os custos associados à criação e operação de um equipamento de criptomineração dedicado tenham levado os amadores a minerar em seu hardware principal, isso raramente gera rendimentos consideráveis. E os lucros de tais atividades são muitas vezes profundamente prejudicados não somente pelo custo da energia adicional consumida na realização dos cálculos intensivos de mineração, como também pelo desgaste de hardware caro. 

Para empresas e grandes organizações, os custos do criptojacking são ainda maiores, incluindo lentidão operacional e possíveis violações de privacidade de dados. Os principais impactos do criptojacking para as empresas são os seguintes.

Os ataques de criptojacking são projetados para serem executados em segundo plano, permanecendo ocultos e desconhecidos pelo maior tempo possível. Dessa forma, os códigos de criptojacking podem ser difíceis de detectar. No entanto, há alguns sinais de que um sistema pode estar infectado por um software malicioso de criptomineração:

• Aumento inexplicável do consumo de energia: como o software de criptomineração consome muita energia, picos repentinos e inexplicáveis nos gastos com energia podem indicar criptomineração não autorizada. 

• Superaquecimento do dispositivo: a criptomineração faz o hardware aquecer Quando o hardware do sistema está superaquecendo, ou simplesmente acionando mais os ventiladores e os sistemas de resfriamento, isso pode ser um sintoma de um ataque de cryptojacking. 

• Desacelerações inexplicáveis: o cryptojacking consome os recursos do computador, levando a operações gerais mais lentas. Sistemas que se esforçam para concluir tarefas normais de computação são um sinal comum de criptojacking.

• Alto uso da CPU: ao investigar um possível ataque de cryptojacking, um indicador é o uso maior do que o normal da CPU durante a execução de operações pouco exigentes. 

A defesa contra o cryptojacking exige uma abordagem holística que, felizmente, está alinhada a muitas outras estratégias de cibersegurança de ponta para a manutenção geral da segurança. Veja a seguir as medidas de defesa comuns e eficazes:

• Treinamento rigoroso de pessoal: como frequentemente acontece com qualquer ameaça cibernética, o erro humano é o vetor de ataque mais persistente e possivelmente prejudicial. Treinamento e educação sobre ataques de phishing, navegação segura e práticas de compartilhamento de arquivos são a primeira linha de defesa crítica contra o cryptojacking. 

• Soluções EDR e CDR: como o cryptojacking exige que um sistema infectado se comunique com agentes mal-intencionados, ferramentas antivírus comuns capazes de verificar o software em busca de sinais conhecidos de crimes cibernéticos podem ser eficazes contra o cryptojacking.

• Desativação do JavaScript: como o JavaScript é um vetor de ataque muito adequado para o cryptojacking, a desativação de todo o JavaScript pode ser uma defesa eficaz.