Según Sophos, empresa internacional que presta servicios de seguridad para protección de redes y endpoints, el fenómeno del bitcoin no sólo ha atraído a miles de inversores y fondos que han apostado por ésta y otras criptomonedas, sino también a los ciberdelincuentes que han desarrollado un troyano configurado para robarlas y cuya actividad ha ido aumentando a medida que el valor de estas divisas aumentaba.
Este troyano se llama CoinHive, que es un cripto minero, es decir, se trata de un software que mediante la resolución de operaciones matemáticas complejas, que requieren un alto uso de procesador (CPU), genera criptomonedas que van a la “cuenta” (wallet) del propietario del cibermafioso. Este cripto minero aprovecha las ventajas de la tecnología JavaScript (lenguaje de programación interpretado) para extraer criptomonedas ocultándose en prácticamente cualquier página web que lo incluya.
En cuanto a la minería, las criptomonedas no se crean, sino que se descubren, y para ello se necesita la potencia de muchos ordenadores que desde cualquier parte del mundo para que puedan resolver esas complejas operaciones matemáticas. De esta forma, los cripto mineros compiten por sacar a la luz nuevas criptomonedas y conseguir las recompensas que se ofrecen por conseguirlo.
Aprovechando que para descubrir criptomonedas es necesario tener en funcionamiento varios ordenadores, los ciberdelincuentes han creado el troyano CoinHive que accede sigilosamente a la CPU cuando los usuarios abren una página web. Tradicionalmente los cripto mineros no han sido etiquetado como aplicaciones indeseadas porque se han utilizado legítimamente en el equipo del usuario, solicitando siempre permiso para ejecutarse. No obstante, desde hace algún tiempo, Sophos ha detectado que los cripto mineros que usan la tecnología JavaScript han empezado a ejecutarse sin pedir permiso, por lo que SophosLabs ha comenzado a etiquetarlos como malware y, por consiguiente, a bloquearlos.
Últimamente, el número de los cripto mineros clasificados como malware ha ido creciendo y transformándose. Es decir, en lugar de mostrar una carpeta ejecutable, ahora toman la forma de JavaScript para esconderse en las páginas webs, minando criptomonedas desde cualquier navegador con tan sólo visitar ciertas páginas. Una vez en el dispositivo, no se tiene constancia de la presencia de los mismos, y la única pista de que algo anda mal es que el equipo se ralentiza. Si miramos el uso de CPU podremos ver como éste aumenta sin justificación al visitar la web afectada.
Así pues, CoinHive es un ejemplo claro de este tipo de cripto mineros. Se trata de un minero de la criptomoneda Monero, creado por los ciberdelicuentes, que apareció a mediados de septiembre. Sophos ha detectado que el número de sitios en que los que se oculta ha aumentado constantemente en las últimas semanas a medida que valor total de la criptomoneda ha ido protagonizando un crecimiento desenfrenado.
En este contexto, Sophos explica que, el proceso de minar criptomonedas para descubrir Bitcoins, Monero, Ethereum y Litecoin requiere de un uso masivo de potencia de procesamiento de los ordenadores, lo que ralentiza su rendimiento, los desgasta, y genera un aumento considerable de la factura de la luz. Antes, esta necesidad de potencia no suponía ningun problema, ya que la actividad se limitaba a aquellos que deliberadamente elegían hacerlo, pero empezó a cambiar a medida que crecía el valor de las criptomonedas, como ha pasado con el Bitcoin que ha principio de este año valía mil dólares y al final está valorado en 20 mil dólares.
Es importante saber que este troyano también funciona en dispositivos móviles y durante períodos cortos, el usuario puede notar que la temperatura del dispositivo aumenta drásticamente, disminuyendo considerablemente la carga de batería.
Según Sophos, Coinhive intenta hacerse pasar por una oferta legítima para que los sitios web la utilicen como fuente alternativa de ingresos por anuncios, y también ha descubierto que este troyano ingresa a través del sitio The Pirate Bay, que lo ha incorporado en las páginas de búsqueda.