Hackers utilizaram anúncios do YouTube para minerar criptomoedas

Com a bolha das criptomoedas inflando sem controle, é fato que muitos espertões tentarão de todo jeito minerar as moedinhas de todas as maneiras possíveis e claro, apelarão para métodos ilegais. Vários sites e serviços já foram pegos fazendo uso de softwares que utilizavam os computadores de seus usuários em proveito próprio, e a bola de vez é o YouTube: anúncios maliciosos que vinham sendo veiculados na plataforma faziam uso do CPU e energia dos visitantes para mineração das moedas digitais.

O método utilizado pelos atacantes é o mesmo empregado por diversos sites da internet, o de incluir códigos em anúncios e sequestrar poder de processamento enquanto o usuário permanecer na página. O script utilizado é o da companhia CoinHive, que é legítimo mas se mal utilizado (sendo sincero, ele só é usado assim) permite que um desenvolvedor com segundas intenções inclua anúncios em seu site ou pior: os insira sem que os responsáveis saibam de forma silenciosa, como já aconteceu com um portal do governo do estado de São Paulo.

O CoinHive pode ser incluído no código-fonte de páginas e em anúncios, e uma vez ativo passa a utilizar o poder de processamento dos computadores dos visitantes para minerar Monero, e ao menos no papel a ideia era oferecê-lo como uma alternativa aos anúncios se bem utilizado. Claro, uma infinidade de sites começou a abusar do script, forçando o processamento dos usuários além do aceitável e hackers passaram a infectar sites, extensões de navegadores e anúncios de terceiros para fazer dinheiro fácil. É o que acontece com o YouTube neste caso.

Na última semana, denúncias começaram a pipocar de que o YouTube estava infectado, quando softwares antivírus começaram a apontar códigos maliciosos para a mineração de criptomoedas presentes na plataforma. Na sexta-feira, especialista da Trend Micro apresentaram um relatório revelando que hackers se aproveitaram da plataforma DoubleClick do Google para inserir anúncios com o código do CoinHive inserido, com exibição direcionada a países como Japão, França, Itália, Espanha e Taiwan. Em nove dos dez casos analisados os hackers fizeram uso do código oficial, enquanto apenas um utilizou uma solução própria para evitar o pagamento de 30% destinado à CoinHive. De qualquer forma, ambos os scripts foram designados a consumir 80% da CPU dos visitantes e destiná-los à mineração.

O YouTube se tornou um alvo principalmente porque os usuários permanecem dentro do serviço por longos períodos de tempo, ainda que não consumindo um único vídeo e mais, algumas dessas propagandas exibiam mensagens falsas direcionando o visitante a instalar softwares antivírus falsos, na verdade portais para a instalação de malwares, ransomwares e coisas do tipo.

Em nota, um porta-voz do Google informa que a empresa está ciente da nova forma de abuso de suas políticas e que estão monitorando a plataforma de anúncios “ativamente”, embora nada explique como propagandas apontando para softwares falsos, algo que é muito simples de identificar passaram em primeiro lugar. Ao mesmo tempo, o representante informa que os tais anúncios foram “identificados e bloqueados em menos de duas horas”, quando especialistas já rastreavam tais marmotagens desde o dia 18 de janeiro e as denúncias tomaram corpo no decorrer da última semana.

Enfim, caso o Google esteja de fato comprometido com a segurança é possível que vejamos menos desses anúncios no YouTube, mas até lá fica meio difícil não recomendar o uso de bloqueadores de ads em todas as situações.

Fonte: Ars Technica.