Недавно мы рассказывали о том, как в Wi-Fi сети кофейни Starbucks в Буэнос-Айресе пользователи обнаружили скрытый майнер цифровой валюты Monero.

В связи с этим событием разработчик систем информационной безопасности из Испании, известный под ником Arnau, решил проверить принцип работы еще одной модели подобной атаки под названием CoffeeMiner. Она используется в общественных сетях Wi-Fi со свободным доступом – ими чаще всего пользуются клиенты кофеен и ресторанов.

Как же работает программа CoffeeMiner? С ее помощью злоумышленник является посредником между клиентом и сервером – он или перехватывает информацию, или отправляет клиенту ложные данные.

В своей работе CoffeeMiner использует Wi-Fi-доступ для одновременной передачи кода на все устройства, подключённые к сети. Именно этот код и выполняет майнинг цифровой валюты.

Атака на устройства осуществляется посредством подмены сообщений в протоколе определения адреса (ARP) — он отображает IP-адреса устройств, подключённых к сети. Для внедрения HTML-кода в незащищенный трафик используется специальная программа mitmproxy.

CoffeeMiner автоматически запускает код JavaScript на сайтах, которые посещает клиент с помощью общественной сети Wi-Fi – он запрашивает майнер криптовалюты, который обслуживается через удалённый сервер.

Пользователи не смогут заметить ничего подозрительного кроме того, что нужные им страницы загружаются более медленно.