En anteriores ocasiones hemos mencionado sobre la utilización de JavaScript para minar criptodivisas apoyándose en los navegadores web utilizados por los visitantes. El ejemplo más mediático de esto ha sido The Pirate Bay, el conocido portal de descargas que en los últimos tiempos utiliza Coinhive para monetizarse y no depender así tanto de la publicidad.
Coinhive es una biblioteca de JavaScript que emplea los recursos del ordenador del visitante para minar la criptodivisa Monero, apoyándose para ello en un navegador web que cargue una página web que la contenga. En teoría la utilización del ordenador del visitante para minar criptodivisas solo dura el tiempo que el usuario tenga abierto el navegador.
Sin embargo, investigadores de Malwarebytes han descubierto que algunos sitios web son capaces de engañar al navegador para mantener activo el proceso de minado incluso cuando la aplicación es cerrada, haciendo que este pase a ejecutarse en segundo plano (o al menos eso puede pensar el usuario). Para realizar esto se emplea una técnica con la cual abren una ventana emergente que suele encontrarse escondida debajo del reloj de la barra de tareas de Windows.
Al tener esa ventana escondida debajo del reloj de Windows, se impide el cierre real del navegador web, quedando así cargada una página web que contiene la biblioteca JavaScript encargada del proceso de minado. El usuario puede percatarse de esto si detecta un consumo alto e injustificado de la CPU, pero no todo el mundo tiene los conocimientos necesarios para darse cuenta de este detalle. Obviamente, lo que ocurre realmente es que el navegador web no ha sido cerrado realmente, por lo que matando sus procesos se tendría que acabar con el minado realizado desde el ordenador del usuario.
Los investigadores de Malwarebytes avisan que los desarrolladores de esta técnica han conseguido saltarse la mayoría de los bloqueadores de publicidad para abrir con éxito la ventana emergente oculta, mientras que el minero deriva de un motor de minado de criptodivisas que se encuentra almacenado en Amazon Web Servers.
Aunque las personas tras la utilización de bibliotecas JavaScript para minar utilizan técnicas cada vez más complejas, esto no quiere decir que los usuarios estén desprotegidos. A la mencionada vía de matar los procesos del navegador mediante el Administrador de tareas, algunos antimalware ya detectan este tipo de software como malicioso, avisando al usuario cuando van entrar en ejecución. Además, se pueden emplear extensiones como NoCoin para bloquear las bibliotecas de minado en JavaScript mientras se navega.
Recordamos que esta técnica se apoya en tecnologías web estándares que se ejecutan sobre los navegadores web más utilizados, por lo que los usuarios de Linux y Mac pueden verse afectados de la misma manera.
Fuente: The Hacker News