Clicky

Cómo hacer que los usuarios públicos de Wi-Fi extraigan criptomonedas para ti

Wi-Fi

CoffeeMiner hackea las WiFi para inyectar criptomonedas minero a solicitudes HTML

Enredar secretamente las máquinas de usuarios desprevenidos en la criptomoneda minera es un sueño al que aspiran muchos propietarios de criptomonedas, y algunos de ellos dejan de lado consideraciones éticas y trabajan para que ese sueño se haga realidad.

Comprometerse con las computadoras y los sitios web y aligerarlos con software de minería o scripts de criptoactivación son los dos enfoques más utilizados.

Otro método, descubierto el mes pasado en Starbucks en Buenos Aires, consiste en inyectar código de minería en las páginas servidas a los usuarios de redes wifi públicas y gratuitas.

Este incidente particular impulsó a un desarrollador de software con sede en Barcelona a investigar cómo se puede automatizar dicho ataque.

CoffeeMiner

El primer paso del ataque consiste en colocar la máquina del atacante entre los dispositivos de los usuarios y el enrutador Wi-Fi, permitiéndole de hecho interceptar, transmitir y modificar el tráfico web que pasa entre ellos.

Esta posición se logra realizando un ataque de suplantación de ARP: el atacante envía mensajes de protocolo de resolución de direcciones (ARP) falsificados a una red de área local para que su dirección MAC esté asociada con la dirección IP de la puerta de enlace predeterminada (router). Una vez que se logre eso, cualquier tráfico destinado a esa dirección IP se enviará al atacante.

Anteriormente, el atacante había configurado en su máquina un servidor HTTP, para que pudiera servir a las víctimas el script cripto minero (CoinHive).

Coffeeminer

Al usar mitmproxy, se puede analizar el tráfico que pasa por la máquina y modificarlo inyectando una sola línea de código en las páginas HTML solicitadas. El código inyectado "llama" al cripto minero de Javascript desde el servidor.

El objetivo del desarrollador era crear un script que realizase un ataque completamente autónomo en la red Wi-Fi, pero no ha hecho precisamente eso: un atacante tendrá que preparar manualmente un archivo de texto con todas las direcciones IP de las víctimas antes de implementar CoffeeMiner.

La secuencia de comandos hace todo el resto: obtiene la IP del router y la de las víctimas, configura el reenvío de IP y las tablas de IP, realiza el ARPspoof para todas las víctimas, inicia el servidor HTTP para el cripto minero, inicia el mitmproxy e inyecta el script necesario en el tráfico web.

El desarrollador ha probado con éxito el ataque en escenarios de la vida real, y funciona (vídeo de abajo). Aún así, aconseja no utilizar su código de prueba de concepto para ataques reales, se aseguró de tener en cuenta que lo creó con fines puramente académicos.

"Para una versión más, una característica posible podría ser agregar un escaneo Nmap autónomo, para agregar las IP detectadas a la lista de víctimas de CoffeeMiner. Otra característica más, podría ser agregar sslstrip, para asegurar la inyección también en los sitios web que el usuario puede solicitar a través de HTTPS", concluyó.

Jesus_Caceres