Coinhive é um script que os webmasters podem usar em seus sites. Sempre que as pessoas visitam o site, o código Coinhive JavaScript é executado e minera a altcoin Monero para o webmaster fazendo uso da CPU do visitante.
É uma ideia única e criativa. Os criadores da Coinhive o classificam como um substituto para as propagandas tradicionais. Os criadores afirmam que os proprietários dos sites podem se livrar de todos os anúncios em seu site executando o Coinhive e usando uma pequena porção da CPU do usuário durante o tempo que ele estiver visitando o site. Os proprietários do site ganharão dinheiro sem irritar sua audiência com propagandas irritantes.
Um relatório recém-lançado determinou que um site como o The Pirate bay provavelmente faz cerca de 12.000 USD por mês. Considerando o fato de que The Pirate Bay está posicionado em 87º no ranking de tráfego Alexa.
Infelizmente, e apesar do bom uso do Coinhive, este minerador foram mal utilizados pelos criminosos. O Coinhive tem sido muito usado por hackers, ele foi inserido dentro de uma conhecida extensão do Chrome chamada SafeBrowse, na qual o script Coinhive foi colocado no Chrome sempre que o navegador estava aberto e funcionando.
Depois disso, o Coinhive foi inserido em nomes de domínio famosos, mas diferentes dos originais. Alguém lançou o site twitter.com.com e estava executando o Coinhive nessa página da web. Os indivíduos que mudaram o URL do domínio do Twitter instalaram o script de mineração gerando lucro para o ciber-criminoso. Claro, duraria apenas alguns segundos até que a pessoa entendesse que ele estava no site errado, mas isso é suficiente para que o “empreendedor web” obtivesse lucro. Dessa forma pode fazer uma grande soma de dinheiro.
Mais tarde, especialistas em malware encontraram vários sites hackeados onde criminosos mudaram o código-fonte e carregaram silenciosamente o minerador Coinhive. Os especialistas da Infosec descobriram inúmeros sites hackeados do Magento e WordPress, que foram modificados desta maneira.
Especialistas em segurança também notaram que um grupo proeminente e grande de malwares usavam o Coinhive também. Anúncios perigosos redirecionaram usuários para sites de suporte técnico falso, onde além de notificações falsas tradicionais de vírus, os criminosos colocaram o Coinhive e extraíram Monero.