Blog

O Ataque à Cadeia de Suprimentos BrowseAloud: Um Estudo de Caso em Cryptojacking

Este ataque afetou mais de 4.000 sites, incluindo sites governamentais e educacionais, expondo milhares de usuários ao cryptojacking sem o seu conhecimento.

Jun 10, 2024 • 5 min read

Simon Wijckmans Founder & CEO

O ataque de cryptojacking BrowseAloud — CoinHive injetado via plugin confiável

Em fevereiro de 2018, mais de 4.000 sites, incluindo órgãos governamentais de alto perfil como o Information Commissioner's Office (ICO) do Reino Unido, foram vítimas do ataque BrowseAloud. Isso não foi apenas mais uma violação de segurança cibernética; foi um lembrete potente dos perigos ocultos de scripts de terceiros em nossos ecossistemas digitais cada vez mais interconectados.

O Que Aconteceu no Ataque BrowseAloud?

Um serviço de terceiros aparentemente benigno chamado BrowseAloud, que ajuda sites a melhorar a acessibilidade convertendo texto em fala, foi comprometido. Atores maliciosos injetaram o script de mineração de criptomoedas CoinHive no código-base do BrowseAloud. Este script foi então executado involuntariamente pelos navegadores de milhares de visitantes em vários sites, usando seus dispositivos para minerar criptomoedas sem consentimento.

A mineração de criptomoedas envolve o processo de resolver problemas matemáticos complexos para validar transações na blockchain, uma tarefa que tradicionalmente requer recursos computacionais substanciais. No entanto, com o advento de scripts como o CoinHive, esse processo foi trazido para os navegadores de usuários desavisados. Veja como funciona:

Execução de JavaScript: O CoinHive e scripts similares são escritos em JavaScript, que pode ser executado em qualquer navegador web padrão. Isso torna incrivelmente fácil implantar em larga escala. Provavelmente o aspecto mais importante dos ataques à cadeia de suprimentos web e o que o cside protege.
Uso Não Consensual de Recursos: Ao contrário da mineração típica que requer consentimento explícito e hardware dedicado, a mineração baseada em navegador usa os recursos de CPU de qualquer visitante de um site infectado. O script é executado enquanto a página web estiver aberta, tornando-o menos perceptível, mas potencialmente prejudicial aos dispositivos dos usuários devido ao aumento do consumo de energia e desgaste.
Lucratividade para os Atacantes: Cada dispositivo sequestrado contribui com uma pequena quantidade de poder de mineração. No entanto, quando dimensionado em milhares de dispositivos, isso pode gerar criptomoedas significativas para os atacantes.

O Impacto Deste Ataque

Este ataque afetou mais de 4.000 sites, incluindo sites governamentais e educacionais, expondo milhares de usuários ao cryptojacking sem o seu conhecimento. Nenhum dado pessoal foi roubado, mas as implicações foram significativas mesmo assim. Os sites tiveram que ser retirados do ar, causando interrupções de serviço e danos à reputação. Os atacantes exploraram uma prática comum, mas arriscada: aceitação automática de atualizações de scripts de terceiros. Este incidente destacou a necessidade de monitoramento e gerenciamento rigorosos de componentes de terceiros, que muitas organizações haviam negligenciado.

Isso é o que o cside previne, tanto no monitoramento da mudança quanto na possibilidade de tomar ações autônomas para impedir que o código malicioso seja carregado no navegador do usuário.

Em outras palavras, isso muito provavelmente não teria acontecido se o cside existisse e estivesse implantado naquela época. Você pode começar com o cside para se proteger contra qualquer tipo de ataque de script de terceiros gratuitamente.

O Que Aconteceu com o BrowseAloud Depois?

Após o ataque de cryptojacking, a empresa-mãe do BrowseAloud, Texthelp, tomou medidas imediatas, retirando temporariamente o serviço do ar para mitigar o problema e conduzir uma revisão de segurança completa. O incidente levou a uma maior conscientização sobre a segurança de serviços de terceiros e a necessidade de vigilância contínua e auditorias de segurança regulares.

O BrowseAloud voltou online com medidas de segurança aprimoradas e um compromisso de prevenir tais incidentes no futuro. O ataque também gerou uma discussão mais ampla entre os provedores de serviços web sobre a importância de proteger e monitorar scripts de terceiros rigorosamente.

O Destino do CoinHive

O CoinHive, por outro lado, enfrentou uma trajetória diferente. Inicialmente lançado como uma ferramenta legítima para monetizar conteúdo de sites sem anúncios, usando o poder de CPU dos visitantes para minerar criptomoedas, o CoinHive rapidamente se tornou associado ao cryptojacking não autorizado. A conotação negativa e o uso indevido do script em vários ataques maliciosos levaram a um escrutínio significativo.

A viabilidade do serviço foi ainda mais desafiada pelo declínio no valor do Monero e pela crescente dificuldade em minerá-lo lucrativamente. Consequentemente, o CoinHive anunciou seu encerramento em março de 2019, citando inviabilidade econômica como a principal razão para seu fechamento.

O domínio CoinHive.com agora pertence ao especialista da indústria Troy Hunt. É seguro e hospeda sua visão sobre proteção contra ataques similares e cryptojacking em geral.

Artigo educacional hospedado por Troy Hunt no antigo domínio Coinhive.com

Semelhante a como agora possuímos o domínio Baways.com e o transformamos em um site educacional.

Página educacional atual de baways.com gerenciada pela cside

Usar domínios antigos previamente usados como esses pode causar outros problemas, como Troy Hunt experimentou recentemente.

E-mail divertido / estúpido / idiota do dia:

@copytrack

executa um serviço para rastrear instâncias de imagens protegidas por direitos autorais sendo usadas sem licença. Em março, eles me enviaram vários e-mails exigindo dinheiro por violação de direitos autorais. Hoje, recebi outro pedindo muitas centenas de euros:

pic.twitter.com/4IUUlvslZ8

— Troy Hunt (@troyhunt)

15 de junho de 2024

Agora, voltando às suas recomendações sobre o tópico, sua abordagem envolve usar CSP para fazer os navegadores desconsiderarem quaisquer comandos de qualquer domínio que não seja explicitamente permitido. No seu caso, após proteger o domínio CoinHive, ele implementou uma CSP que garante que, mesmo se scripts maliciosos forem injetados, eles não seriam executados porque não estariam vindo de uma lista permitida de domínios.

Em nossa opinião, essa abordagem é boa, mas não suficiente. Em resumo, CSPs não devem ser a única medida de segurança contra ataques de JavaScript de terceiros. Nossa página de comparação oferece uma ótima visão geral dos recursos que implementamos além das CSPs para fornecer a melhor segurança possível em relação a violações de scripts de terceiros.

Acreditamos que a chave está em analisar todo o script antes que ele chegue ao navegador do usuário. Naturalmente, isso apresenta alguns desafios, para os quais desenvolvemos soluções. Você pode ler mais sobre essa visão e como protegemos scripts de terceiros aqui.

Founder & CEO Simon Wijckmans

Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks — web security is not an enterprise-only problem.

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

Em 2018 o script de acessibilidade Browsealoud foi comprometido e passou a carregar o Coinhive em cada site que o embedava — incluindo páginas de governos do Reino Unido e dos EUA. Visitantes mineravam Monero para o atacante até o script ser desativado.

Qualquer script de terceiros embedado pode ser trocado silenciosamente. Subresource Integrity ajuda para ativos estáticos, mas não detecta mudanças de payload em tempo de execução. Um monitoramento contínuo no cliente percebe a troca quando acontece.

Monitore e Proteja Seus Scripts de Terceiros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Agende uma demonstração

Comece gratuitamente

Comece grátis, ou experimente o Business com um teste de 14 dias.

Interface do painel cside mostrando monitoramento de scripts e análises de segurança

Capa escura do blog da cside com uma onda de pixels azuis e uma lista sobre pixels não autorizados em sites de jogos e responsabilidade pelo GDPR

GDPR e Jogo Online: Por Que Razão os Pixels Não Autorizados Criam um Problema de Responsabilidade Dupla

Pixels não autorizados em sites de jogo criam responsabilidade GDPR e suspensão de contas de anúncios ao mesmo tempo, mesmo sem instalação.

Como Bloquear o Bytespider (o Crawler de IA do TikTok)

O Bytespider rastreia o seu site para os sistemas de IA da Bytedance. Saiba como bloqueá-lo com robots.txt e intervalos de IP, e as principais preocupações de soberania de dados.

Capa escura do blog com três métodos de ataque de scripts maliciosos em casinos: redirects disparados no browser, shadow GTM containers com tags maliciosas e payloads móveis geo-direccionados

Como Scripts Maliciosos Sequestram as Jornadas dos Jogadores em Casinos Online

Scripts injectados redirecionam jogadores de casino antes do lobby. As ferramentas de rede não os detectam. Eis como a detecção deve funcionar.

Capa escura do blog da cside com uma onda de pixels azuis e uma lista sobre segurança de scripts para operadores de jogos na APAC

Segurança de scripts client-side para operadores de jogo online na região APAC

Como operadores de jogo online APAC no Japão, Singapura, Filipinas e Austrália podem monitorizar scripts de terceiros em sessões reais.

Como Bloquear o Amazon Buy for Me no Seu Site

O Amazon Buy for Me compra no seu site em nome de utilizadores Prime. Saiba como recolhe dados de preços e produtos e como a deteção na camada do navegador lhe dá controlo.

Prevenção de account takeover: o playbook completo de 2026

O playbook operativo de ATO para 2026: um modelo integral para login, recuperação, sessão e defesa post-auth contra a apropriação impulsionada por agentes IA e bots.

Capa escura do blog da cside com uma onda de pixels azuis e uma lista sobre scripts de afiliados comprometidos que roubam receita de cassinos

Como Scripts de Afiliados Comprometidos Roubam Receita de Casinos Online

Scripts de afiliados comprometidos redirecionam jogadores e roubam comissões em páginas de casino, de forma silenciosa e em escala.

Capa escura do blog com três vectores de ataque de browser extensions: redirecionamentos para clones de phishing, roubo de token de sessão e reescrita de campos de pagamento no DOM

Como as Browser Extensions Atacam Jogadores de Casinos Online: O Que os Operadores Podem Fazer

As browser extensions roubam tokens de sessão e sequestram pagamentos em casinos. Como detectar estes ataques que os servidores não vêem.

Como Bloquear a Criação de Contas Falsas com IA

Agentes de IA criam contas falsas com comportamento humano que derrota o CAPTCHA. Aprenda os sinais na camada do navegador que expõem os registos automatizados.

Como Bloquear o CCBot (o Crawler de IA da Common Crawl)

O CCBot alimenta os conjuntos de dados da Common Crawl usados para treinar o GPT-3, o BLOOM, o LLaMA e muitos outros modelos de IA. Saiba como bloqueá-lo e o que o bloqueio realmente faz.