Il Cryptojacking

lo script nascosto che ci rende tutti (o quasi) miner inconsapevoli

redatto da Aryon Solutions | Cyber Security | 05-07-2018

Prima di tutto facciamo chiarezza sui alcuni termini:


- La parola cryptojacking è un neologismo in voga in questo periodo, e sta ad indicare l'hack di siti e servizi internet attuato con lo scopo di sfruttare indebitamente le CPU degli utenti per minare criptovalute attraverso il browser.


- Il mining è il modo utilizzato dal sistema bitcoin e dalle criptovalute in generale per emettere moneta. La rete di una criptovaluta memorizza le transazioni all'interno di strutture di dati chiamate "blocchi". Affinché un blocco possa essere aggiunto alla catena, il database contente tutte le transazioni in bitcoin, è necessario che un elaboratore lo chiuda trovando un codice, che può essere trovato solo dopo molti tentativi. Questa operazione completa il blocco, impedendo qualsiasi modifica futura. Chi trova il codice è ricompensato in criptovaluta, come premio per il tempo macchina dedicato. Questa operazione è chiamata mining.

Più nello specifico Il cryptojacking è l’operazione che prevede che venga utilizzata la potenza computazionale dei dispositivi di utenti sconosciuti e che non sanno di essere stati reclutati dopo aver visitato siti web che ospitavano un codice Javascript che ha attivato i loro pc per generare nuove monete.


Fino a oggi, secondo le stime di Check Point sono circa 700 i server nel mondo reclutati per il cryptojacking.

L’attività però si sta diffondendo anche grazie alla diffusione di una sorta di as a service. Coinhive è infatti un servizio dove è possibile inserire il codice di un sito che da quel momento sfrutterà la potenza computazionale dei suoi utenti per generare monete il cui guadagno va al 70% al cybercriminale e al 30% a Coinhive. Ovviamente più il sito è frequentato maggiori sono i guadagni. Così anche Tesla è stata coinvolta dall’attacco che ha coinvolto la console di Kubernetes.


Gli analisti di Trend Micro hanno invece scoperto le righe di codice anche all’interno di messaggi pubblicitari di Youtube.

L’utilizzo della piattaforma di condivisione dei video ha permesso una forte crescita del numero di miner Coinhive che è salita del 285%. In questo caso la soluzione era progettata per impadronirsi dell’80% della potenza della Cpu del client.


Il fenomeno non risparmia neanche gli smartphone. Una campagna di cryptojacking ha colpitoinfatti milioni di utenti Android attraverso banner inseriti all’interno di app gratuite che portano verso i siti che sequestrano il 100% della potenza di calcolo della Cpu.

Il sito del Los Angeles Times e migliaia di siti governativi in in Usa e Uk sono stati infettati da questa attività che continua a progredire. Secondo i ricercatori di Votiro, società specializzata nella sicurezza, anche i documenti Microsoft possono ora essere utilizzati dagli hacker per fornire uno script di criptojacking. Secondo questo studio l'attacco utilizza la funzione Video Online di Word per comandare la Cpu.


La funzione permette a un utente Word di incollare semplicemente il codice integrato iframe per aggiungere un video internet a un documento Word. Il video apparirà quindi nel documento e potrà essere riprodotto quando un utente aprirà un documento.

L’aggressore può però aggiungere lo scriptdicriptojacking con il codice video. Per rendere l' attacco il più efficace possibile, gli aggressori possono "adattare" il video alle esigenze di un particolare utente.


Una volta incorporato e avviato, l'utente crederà di guardare solo un film mentre la Cpu sta lavorando per altri. In un esempio di attacco mostrato da Votiro, i ricercatori sono stati in grado di dirottare il 99% della Cpu della vittima.

Secondo un report pubblicato da MalwareBytes, le attività di criptojacking diverranno prioritarie per i cyber-criminali già il prossimo anno: ciò che rende preoccupante questa nuova moda è il fatto che si agisca in un'area grigia, in cui non è facile distinguere se il lavoro dei mining script sia legittimo, nonché se un sito che contiene questi script sia stato infettato o meno.

In tutto ciò è importante ricordare che i mining script sono facilmente bloccabili attraverso l'uso di Ad blocker - come uBlock Origin - o per mezzo di apposite estensioni come No Coin.


Fonte: www.01net.it