CoffeeMiner secuestra redes públicas Wi-Fi para minar criptomonedas

Un desarrollador describió en su blog el procedimiento detallado para interceptar el tráfico de una red Wi-Fi permitiendo usar los dispositivos conectados para minar monero de incógnito.

Si bien no es nuevo el uso de los dispositivos conectados a una red Wi-Fi pública para minar criptomonedas sin el consentimiento de los usuarios de dicha red, surgen nuevas formas de ataque de este tipo, con el añadido de que las técnicas usadas son documentadas de manera detallada en la web.

La semana pasada un desarrollador de software publicó en su blog la descripción de un ataque MITM (siglas de Man In The Middle) que inyecta código malicioso en páginas web y obliga a todos los dispositivos conectados a la red Wi-Fi a minar criptomonedas para el atacante.

Diagrama general de cómo trabaja CoffeeMiner. Fuente: arnaucode.com/blog

El código que realiza un ataque autónomo en la red inalámbrica fue denominado CoffeeMiner por su creador; un desarrollador que se identifica con lo que parece más un pseudónimo que un nombre: Arnau Code. “Lo hemos denominado CoffeeMiner, ya que es un tipo de ataque ideal para ser realizado en las redes Wi-Fi de cafés”, dijo Code, después de admitir que su inspiración provino del ataque descubierto el 2 de diciembre pasado en un local de Starbucks de Buenos Aires.

En esa oportunidad, Noah Dinkin, notó que había un retraso consistente de 10 segundos cada vez que un dispositivo intentaba conectarse con la red Wi-Fi del local y encontró en la página web del Starbucks la evidencia de un script de Coinhive, hecho reconocido posteriormente por la compañía. En otras palabras, el Wi-Fi no era realmente gratuito, se pagaba con 10 segundos de poder de cómputo de los dispositivos de los clientes.

Posteriormente, Dinkin recibió evidencias de que el ataque subrepticio se realizaba en al menos tres tiendas de Starbucks en Buenos Aires.

Un intermediario indeseable

Según explica Arnau Code, desarrollador establecido en Barcelona, España, probó con éxito su iniciativa en “un escenario del mundo real” pero detalla en su artículo el despliegue de ésta con computadoras virtuales empleando VirtualBox, un software de virtualización para PCs.

Para configurar el escenario deseado, preparó tres computadoras virtuales en VirtualBox: la de la víctima y la del atacante, conectadas ambas a la tercera que actúa como router.

Diagrama de cómo trabaja una red Wi-Fi normalmente. Fuente: arnaucode.com/blog

Una vez que el ataque se realiza, el escenario cambia al siguiente:

Diagrama de cómo funciona una red Wi-Fi tras ser secuestrada por CoffeeMiner. Fuente: arnaucode.com/blog

La técnica empleada se conoce como ARPspoofing y sirve para asociar la dirección MAC del atacante con la dirección IP de otro computador que actúa como host (en este caso el router). De modo que todo el tráfico dirigido al router es enviado primero a la máquina del atacante. De esa forma las páginas web que los usuarios afectados ven son idénticas a las originales, pero con el script malicioso añadido que invoca el software de minería, en este caso para minar monero (XMR).

Recordemos que XMR suele ser una de las opciones predilectas de los ciberdelincuentes debido a la alta confidencialidad que brinda a sus usuarios. Gracias a su funcionamiento, se hace extremadamente difícil (por no decir imposible) determinar el origen de cada transacción. Muy al contrario, otras criptomonedas como el ether (ETH), litecoin (LTC) y el mismísimo bitcoin (BTC) ofrecen una mayor transparencia, puesto que es mucho más sencillo rastrear su paso por la blockchain.