Mengeruk Mata Uang Kripto dengan JavaScript
Menambang cryptocurrency sebenarnya bukan hal yang baru lagi, tahun 2013 sekelompok mahasiswa MIT mendirikan sebuah perusahaan bernama Tidbit, perusahaan ini menawarkan layanan web untuk menambang Bitcoin. Tetapi, bukannya sekedar menayangkan iklan, webmaster dapat memasukkan skrip Tidbit di situs mereka untuk mendapatkan uang melalui penambangan Bitcoin. Namun, para pendiri layanan diberi surat perintah pengadilan oleh kantor Jaksa Agung New Jersey karena mereka menggunakan daya komputasi pengguna tanpa persetujuan mereka. Meskipun masalah dapat diselesaikan, namun mereka dipaksa meninggalkan proyek tersebut.
Beberapa bulan terakhir, ESET menemukan file JavaScript yang tampaknya digunakan untuk menambang cryptocurrency atau mata uang dunia maya secara langsung di dalam browser. Untuk waktu yang lama penjahat siber mengambil keuntungan dengan mencuri cryptocurrency. Umumnya mereka menggunakan malware atau Potentially Unwated Application (PUA) yang mereka instal pada perangkat korban.
Namun dalam kasus kali ini, penambangan dilakukan langsung di dalam browser saat pengguna mengunjungi situs web tertentu. Dengan demikian, pelaku tidak perlu menginfeksi mesin korban atau mengeksploitasi kerentanan. Semua yang dibutuhkan adalah browser dengan JavaScript diaktifkan, yang biasanya merupakan keadaan default kebanyakan browser. Berikut adalah pemaparan ESET mengenai penambangan cryptocurrency agar pengguna lebih memahami ancaman ini.
Ancaman siber ini sebagian didistribusikan dengan menggunakan malvertising. Metode penyebaran iklan semacam yang umumnya dilarang oleh sebagian besar jaringan iklan karena merugikan pengguna komputer karena menguras sumber daya komputer. Kita tahu bahwa mengeruk/menambang bitcoin membutuhkan sumber daya CPU dalam jumlah besar, tapi dengan metode kali ini menambang cryptocurrency sangat berbeda karena tidak membutuhkan hardware khusus untuk menambang secara efektif.
Metode pendistribusian ini menggunakan skrip tertentu yang merupakan titik kunci dalam kasus khusus ini, ESET menemukan dua cara yang berbeda yang dapat dilakukan pengguna untuk mengeksekusi skrip yaitu melalui malvertising dan hardcode JavaScript.
Distribusi
Metode distribusi utama skrip ini adalah malvertising. Umumnya, dilakukan dengan membeli traffic dari jaringan iklan dan digunakan untuk mendistribusikan JavaScript berbahaya, bukan dengan layanan iklan konvensional yang biasa kita lihat di internet. JavaScript ini yang kemudian nanti diinjeksi ke dalam browser korban.
Dalam salah satu kasus yang diinvestigasi oleh ESET, sebagian besar berasal dari video streaming atau situs game dalam browser. Ini masuk akal, karena pengguna cenderung meluangkan lebih banyak waktu di laman web yang sama saat mereka menonton film atau bermain game. Selain itu, halaman web seperti itu biasanya memiliki beban CPU yang lebih tinggi dari biasanya, yang cenderung menutupi muatan tambahan dari skrip penambangan. Dengan demikian, memungkinkan skrip berjalan lebih lama dan menggunakan lebih banyak daya komputasi.
Feathercoin dan Litecoin adalah cryptocurrencies yang terinspirasi oleh Bitcoin. Perbedaan utamanya adalah bahwa mereka menggunakan algoritma hash yang berbeda: neoscrypt dan scrypt masing-masing. Tujuannya adalah untuk mengurangi kebutuhan menggunakan hardware khusus, seperti ASIC miner, bukan dengan CPU biasa. Untuk menambang mereka tidak hanya membutuhkan daya CPU tapi juga memori dalam jumlah besar.
Terakhir, Altcoin ketiga adalah Monero, berbeda dari dua lainnya. Fitur utamanya adalah privasi yang lebih kuat dibandingkan dengan Bitcoin. Sulit untuk melacak transaksinya karena blockchain tidak transparan. Secara khusus, ia menggunakan ring signature untuk menyembunyikan alamat pengirim di antara beberapa alamat pengirim. Ini juga menghasilkan kunci publik baru untuk setiap transfer agar bisa menyembunyikan receiver sebenarnya. Algoritma hash yang digunakan, cryptonight, juga membutuhkan banyak memori. Dengan demikian, masuk akal untuk memilih altcoin untuk penambangan JavaScript pada mesin biasa.
Karena penambangan membutuhkan banyak daya komputasi, tidak mengherankan jika operator memutuskan untuk menggunakan asm.js dan bukan JavaScript biasa untuk menerapkan algoritma hash. Asm.js dikatakan antara 1,5 dan 2 kali lebih lambat daripada implementasi algoritma ini secara reguler di C. Tiga di antaranya disediakan: scrypt.asm.js (Litecoin), cryptonight.asm.js (Monero) dan neoscrypt.asm .js (Feathercoin).
Alamat dompet Feathercoin diketahui sama di semua skrip, sementara beberapa alamat Monero yang berbeda digunakan. Namun, alamat yang sama dibagi dalam beberapa skrip. Melihat fakta tersebut, ESET percaya mereka termasuk dalam kelompok yang sama. Karena fitur utama Monero adalah anonimitas, ESET tidak dapat mengakses jumlah uang yang tersimpan di dompet. Sedangkan untuk Feathercoin, alamatnya tidak terlihat di jaringan.
Dalam skrip penambangan, ESET menemukan alamat Feathercoin hardcoded, 6nmfjYVToBWb2ys4deasdydPj1kW9Gyfp4. Dalam pencarian cepat di Google menunjukkan bahwa alamat ini telah digunakan selama beberapa tahun.
Dalam sebuah blogpost yang diterbitkan pada awal tahun 2016, seorang pengguna internet mengeluhkan skrip yang menggunakan CPU 100%. Apa yang mereka gambarkan sangat mirip dengan apa yang telah ESET analisis dan alamat Feathercoin keduannya pun sama. Pada saat penemuan itu, skrip penambangan dipasang di minecrunch [.] Co. Tautan di pos pertama (https://kukunin.github.io/webminer/) menunjukkan alamat Feathercoin yang sama. Menunjukkan bahwa pelaku di balik penambangan cryptocurrency dengan cara menginjeksi browser adalah orang yang sama melakukan aktivitas ilegal serupa beberapa waktu lalu.
Sumber berita:
https://www.welivesecurity.com/
