CoffeMiner: come un miner può diffondersi in tutti i dispositivi connessi alla stessa Wi-Fi

Da qualche tempo stiamo segnalando i numerosi problemi conseguenti alla diffusione illegale dei miner di criptovalute. 

Come già detto, questo fenomeno è in crescita e probabilmente sarà uno dei temi del 2018 (a meno che non avvenga un crollo verticale del valore delle criptovalute, del quale già alcuni esperti vociferano). Se un fenomeno è in crescita, è perché, nei fatti, è ritenuto profittevole dai cyber-criminali, che selezionano tra vari tipi di strumenti quello più adatto ad accumulare ricchezze: in questo caso il mondo del mining illegale è quasi agli inizi, ma l'attenzione che smuove è ribadita non solo dal numero e dalla frequenza degli attacchi, ma anche dal miglioramento e affinamento delle tecniche di diffusione e dell'efficacia dello strumento in sè. 

L'Uomo nel Mezzo

Il ricercatore spagnolo Arnau ha pubblicato sul web un tutorial ben dettagliato che descrive un nuovo attacco Man in the Middle (MitM) finalizzato alla diffusione di miner di criptovalute, nel dettaglio, in questo caso di CoinHive: CoinHive altro non è che una libreria javascript che utilizza il potere di calcolo della CPU di un pc per "minare" Monero.Il caso in questione è stato ribattezzato da Arnau come CoffeMiner perchè ha ipotizzato che un cyber-criminale potesse usarla in una rete wi-fi pubblica come quelle di molti bar e prendendo spunto da un episodio simile successo in un locale di Starbucks.

Lo schema dell'attacco. Fonte: securityinfo

Lo schema quello classico dell'intercettazione da parte di un terzo soggetto (l'uomo nel mezzo) del traffico di tutti i dispositivi collegati alla rete wi-fi: i computer connessi vengono "dirottati" verso il computer del cyber-criminale anziché nel gateway predefinito. Per farlo Arnau, molto banalmente, usa la libreria dsniff e esegue cosi un attacco ARP spoofing: fatto ciò è stato in grado di dirottare il traffico.

Subito dopo usa mitmproxy per modificare il traffico in transito, quindi inietta lo script che permette l'installazione del JavaScript sui dispositivi collegati. Nell'esempio Arnau forza quindi l'installazione sui dispositivi collegati di CoinHive. 

Come proteggersi da questo attacco?

Beh, è una banalità: usare una VPN ogni volta che ci si trova costretti ad usare una rete Wi-Fi pubblica. Ma il punto non è tanto questo, quanto il dover rendersi conto che è sempre più necessario installare app ed estensioni che blocchino i miner per proteggere la parte hardware dei propri pc e che il problema dei miner ci accompagnerà, probabilmente, per molto tempo.