No dia 11 de fevereiro, mais de 4.200 páginas ao redor do mundo, incluindo várias do setor público em países como Estados Unidos, Reino Unido e Austrália, foram inadvertidamente envolvidas em um plano pelo qual os cibercriminosos geraram lucros ao fazer com que os computadores (de forma desapercebida) dos visitantes pudessem minerar uma moeda digital chamada Monero.

O último surto de mineração de criptomoedas, uma prática também conhecida pelo termo em inglês "cryptojacking", gerou vários títulos na mídia logo depois que o pesquisador de cibersegurança Scott Helme alertou a todos sobre o incidente.

Tudo isso ocorreu exatamente quando o profissional de segurança Ian Thornton-Trump informou a Helme sobre uma advertência de seus programas de segurança ao visitar o site do Information Commissioner’s Office (ICO), o órgão responsável pela proteção de dados no Reino Unido.

O portal dos tribunais dos Estados Unidos (uscourts.gov), vários sites pertencentes aos serviços do Sistema Nacional de Saúde do Reino Unido (NHS, por sua sigla em inglês) e muitos outros páginas fizeram parte de uma longa lista composta por 4.275 domínios. Em todos os casos, cada um desses sites carregaram um plug-in que estava sendo maliciosamente manipulado para adicionar um script de mineração de criptografia conhecido como CoinHive.

CoinHive foi inserido em milhares de sites através do Browsealoud, um plug-in que converte o texto de uma página em voz e que é usado por pessoas com problemas de visão, dislexia ou baixo nível de alfabetização. Se a ameaça não for detectada pela solução de segurança usada pelo usuário em seu computador ou pelo bloqueador de publicidade, o script será executado em segundo plano sem que o usuário perceba e funcionará até que a página seja fechada.

"Se você deseja carregar um minerador de criptomonedas em mais de 1.000 páginas web, não seria necessário atacar 1.000 sites, mas apenas em uma única página na qual você saiba que todos irão baixar o conteúdo", disse Helme em seu site.

"Este tipo de ataque não é algo novo, mas é o maior que vi. Uma única empresa atacada é sinônimo de milhares de sites afetados em todo o Reino Unido, Irlanda e Estados Unidos ", disse Helmes ao site SkyNews.

O fabricante do plug-in, Texthelp, disse que seu produto foi comprometido às 11h14 no domingo, 11 de fevereiro, e permaneceu ativo por quatro horas.

"A Texthelp implementa testes de segurança automáticos contínuos no Browsealoud, e foi exatamente em um desses testes que o arquivo modificado foi detectado e, consequentemente, desativado. Esta remoção imediata do Browsealoud de todos os sites de nossos clientes foi feita assumindo o risco de segurança e sem que nossos clientes tivessem que fazer algo sobre o assunto", disse o responsável pela segurança tecnológica e oficial de dados da empresa, Martin McKay.

Além disso, ele assegurou que não foi possível acessar ou eliminar qualquer dado dos clientes e que nenhum tipo de redirecionamento foi realizado.

Uma série de páginas afetadas, incluindo do ICO, também ficaram fora de serviço por horas após o ataque. Por sua vez, o National Cyber ​​Security Center (NCSC) do Reino Unido garantiu que seus especialistas estavam "examinando dados envolvidos com o malware usado para minerar criptomoedas ilegalmente".

"Os serviços afetados foram desativados, conseguindo mitigar o problema em grande medida. As páginas do governo continuam funcionando de forma segura. "Nesta fase, não há nada que possa sugerir que os membros públicos estejam diante de qualquer risco", diz o comunicado.

O CoinHive foi detectado em milhares de sites, bem como extensões de navegador e plug-ins desde o seu lançamento em setembro. Embora tenha sido promovido como uma alternativa legítima para que os proprietários de sites pudessem gerar receita extra através de um método diferente de publicidade, o CoinHive foi desvirtuado por pessoas sem escrúpulos que procuram ganhar dinheiro rápido. A prevalência da prática ganhou mais força à medida que o bitcoin e outras moedas virtuais aumentaram de preço.

Também é sabido que os mineradores de criptomoedas maliciosos estão direcionados aos servidores web do Windows sem patche e aos dispositivos móveis.