Il Criptojacking Spiegato

09.12.2018

Il cryptojacking è un attacco informatico in cui un dispositivo infetto viene sfruttato in segreto per il mining di criptovalute. L’hacker utilizza la potenza di calcolo e la banda larga delle vittime (nella maggior parte dei casi a loro insaputa). In genere, i malware cryptomining responsabili per queste attività sono progettati in modo da usare risorse limitate, in modo da rimanere indisturbati il più lungo possibile. Dato che il mining di criptovalute richiede parecchia potenza di calcolo, gli hacker cercano di infettare un grande numero di dispositivi. Così facendo, sono in grado di ottenere risorse computazionali sufficienti per attività di mining a basso rischio e a basso costo.

Versioni precedenti di malware per il mining entravano in funzione quando le vittime cliccavano su link o allegati e-mail malevoli, infettando il proprio sistema con un crypto-miner nascosto. Tuttavia, negli ultimi due anni sono state sviluppate nuove tipologie più sofisticate, portando l’approccio del cryptojacking a un livello completamente nuovo. Attualmente, gran parte del malware per il mining opera attraverso script implementati all’interno di siti web. Questo approccio è conosciuto come web-based cryptojacking.


Web-based cryptojacking 

Il web-based cryptojacking (detto anche drive-by cryptomining) è la forma più comune di malware cryptomining. In genere, questo attacco viene eseguito attraverso script in esecuzione all’interno di un sito web, per costringere il browser della vittima a minare criptovalute automaticamente per l’intera durata della visita. Questi miner basati sul web vengono introdotti segretamente in un’ampia gamma di siti web, a prescindere da popolarità o categoria. In gran parte dei casi, Monero è la criptovaluta di scelta, in quanto il processo di mining non richiede grandi quantità di risorse e potenza di calcolo come il mining di Bitcoin. Inoltre, Monero garantisce un maggior livello di privacy e anonimato, rendendo le transazioni molto più difficili da rintracciare.

A differenza dei Ransomware, i malware cryptomining non compromettono quasi mai il computer e i dati al suo interno. L’effetto più evidente del cryptojacking è la riduzione delle prestazioni CPU (solitamente accompagnata da un maggior rumore della ventola). Nel caso di imprese e grandi organizzazioni, le prestazioni CPU ridotte possono ostacolare le attività, risultando in potenziali perdite ingenti e opportunità mancate.


CoinHive

L’approccio web-based per il cryptojacking ha fatto la sua comparsa a Settembre 2017, con il lancio pubblico di un crypto-miner chiamato CoinHive. Questo programma è un crypto-miner JavaScript creato apparentemente per una giusta causa: consentire ai proprietari di siti web di monetizzare i propri contenuti gratuiti senza dover dipendere da sgradevoli pubblicità.

CoinHive è compatibile con tutti i browser più usati ed è relativamente facile da utilizzare. I creatori ricevono il 30% di tutte le criptovalute minate attraverso il codice. Il restante 70% viene distribuito agli account degli utenti identificati attraverso chiavi crittografiche.

Nonostante fosse stato presentato come uno strumento interessante, CoinHive ha ricevuto molte critiche in quanto attualmente viene usato da hacker per introdurre segretamente il miner in diversi siti web infettati (senza il permesso del proprietario).

Nei pochi casi in cui CoinHive viene implementato intenzionalmente per buone ragioni, il JavaScript del cryptojacking è configurato in una versione Opt-In chiamata AuthedMine, una versione modificata che inizia a fare mining solo dopo aver ricevuto il consenso del visitatore.

Non sorprende che AuthedMine non si sia diffuso quanto CoinHive. Una rapida ricerca su PublicWWW mostra che ci sono almeno 14,900 siti web che utilizzano CoinHive (di cui 5,700 sono siti WordPress). Per contro, AuthedMine è stato implementato da circa 1,250 pagine.

Durante la prima metà del 2018, CoinHive è diventato la principale minaccia malware monitorata da programmi anti-virus e società di sicurezza informatica. Tuttavia, rapporti recenti indicano che il cryptojacking non è più la minaccia più diffusa, in quanto la prima e la seconda posizione sono attualmente occupate da Trojan bancari e attacchi Ransomware.

Il rapido declino del cryptojacking potrebbe essere collegato al lavoro delle società di sicurezza informatica, in quanto diversi codici per il cryptojacking sono stati inseriti nelle liste nere e vengono individuati velocemente da gran parte dei software anti-virus. Inoltre, delle analisi recenti suggeriscono che il web-based cryptojacking non sia così redditizio come sembra.


Esempi di cryptojacking

A Dicembre 2017, il codice CoinHive è stato implementato in segreto nella rete WiFi di diversi Starbucks di Buenos Aires, come segnalato da un cliente. Lo script utilizzava la potenza di calcolo di qualsiasi dispositivo connesso per il mining di Monero.

A inizio 2018, il miner CoinHive è stato individuato all’interno di Youtube Ads, in esecuzione attraverso la piattaforma DoubleClick di Google.

Nei mesi di Luglio e Agosto 2018, un attacco cryptojacking ha infettato più di 200,000 router MikroTik in Brasile, iniettando il codice CoinHive in un’enorme quantità di traffico web.


Come identificare e prevenire gli attacchi cryptojacking?

Se sospetti che la tua CPU venga utilizzata più del solito e le ventole di raffreddamento facciano rumore per nessun motivo, è probabile che il tuo dispositivo stia venendo usato per il cryptomining. E’ importante scoprire se è il tuo computer ad essere infetto o se il cryptojacking avvenga sul browser. Il web-based cryptojacking è relativamente semplice da individuare e interrompere, mentre i mining malware che prendono di mira i sistemi informatici e le reti non sono sempre facili da trovare, in quanto sono stati sviluppati per rimanere nascosti o mascherati da qualcosa di legittimo.

Ci sono delle estensioni per browser in grado di prevenire in modo efficace gran parte degli attacchi di web-based cryptojacking. Tuttavia, oltre ad essere limitati ai miner web-based, queste contromisure sono solitamente su una lista nera statica, che potrebbe diventare presto obsoleta con l’arrivo di nuove tipologie di attacco. Quindi, si raccomanda anche di tenere aggiornato il proprio sistema operativo e il proprio software anti-virus.

Nel caso di imprese e grandi organizzazioni, è importante informare e educare gli impiegati in merito alle tecniche di cryptojacking e phishing, come e-mail fraudolente e siti web di spoofing.

Riassumendo:

  • Fai attenzione alle prestazioni del tuo dispositivo e all’attività della CPU;

  • Installa estensioni per il browser come MinerBlock, NoCoin e Adblocker;

  • Sii prudente con link e allegati e-mail;

  • Installa un  anti-virus affidabile e tieni aggiornati il tuo sistema operativo e le applicazioni software;

  • Per le imprese: spiega ai tuoi impiegati le tecniche di cryptojacking e phishing.

Loading