Il cryptojacking è un attacco informatico in cui un dispositivo infetto viene sfruttato in segreto per il mining di criptovalute. L’hacker utilizza la potenza di calcolo e la banda larga delle vittime (nella maggior parte dei casi a loro insaputa). In genere, i malware cryptomining responsabili per queste attività sono progettati in modo da usare risorse limitate, in modo da rimanere indisturbati il più lungo possibile. Dato che il mining di criptovalute richiede parecchia potenza di calcolo, gli hacker cercano di infettare un grande numero di dispositivi. Così facendo, sono in grado di ottenere risorse computazionali sufficienti per attività di mining a basso rischio e a basso costo.
Versioni precedenti di malware per il mining entravano in funzione quando le vittime cliccavano su link o allegati e-mail malevoli, infettando il proprio sistema con un crypto-miner nascosto. Tuttavia, negli ultimi due anni sono state sviluppate nuove tipologie più sofisticate, portando l’approccio del cryptojacking a un livello completamente nuovo. Attualmente, gran parte del malware per il mining opera attraverso script implementati all’interno di siti web. Questo approccio è conosciuto come web-based cryptojacking.
Web-based cryptojacking
A differenza dei Ransomware, i malware cryptomining non compromettono quasi mai il computer e i dati al suo interno. L’effetto più evidente del cryptojacking è la riduzione delle prestazioni CPU (solitamente accompagnata da un maggior rumore della ventola). Nel caso di imprese e grandi organizzazioni, le prestazioni CPU ridotte possono ostacolare le attività, risultando in potenziali perdite ingenti e opportunità mancate.
CoinHive
L’approccio web-based per il cryptojacking ha fatto la sua comparsa a Settembre 2017, con il lancio pubblico di un crypto-miner chiamato CoinHive. Questo programma è un crypto-miner JavaScript creato apparentemente per una giusta causa: consentire ai proprietari di siti web di monetizzare i propri contenuti gratuiti senza dover dipendere da sgradevoli pubblicità.
CoinHive è compatibile con tutti i browser più usati ed è relativamente facile da utilizzare. I creatori ricevono il 30% di tutte le criptovalute minate attraverso il codice. Il restante 70% viene distribuito agli account degli utenti identificati attraverso chiavi crittografiche.
Nonostante fosse stato presentato come uno strumento interessante, CoinHive ha ricevuto molte critiche in quanto attualmente viene usato da hacker per introdurre segretamente il miner in diversi siti web infettati (senza il permesso del proprietario).
Nei pochi casi in cui CoinHive viene implementato intenzionalmente per buone ragioni, il JavaScript del cryptojacking è configurato in una versione Opt-In chiamata AuthedMine, una versione modificata che inizia a fare mining solo dopo aver ricevuto il consenso del visitatore.
Non sorprende che AuthedMine non si sia diffuso quanto CoinHive. Una rapida ricerca su PublicWWW mostra che ci sono almeno 14,900 siti web che utilizzano CoinHive (di cui 5,700 sono siti WordPress). Per contro, AuthedMine è stato implementato da circa 1,250 pagine.
Durante la prima metà del 2018, CoinHive è diventato la principale minaccia malware monitorata da programmi anti-virus e società di sicurezza informatica. Tuttavia, rapporti recenti indicano che il cryptojacking non è più la minaccia più diffusa, in quanto la prima e la seconda posizione sono attualmente occupate da Trojan bancari e attacchi Ransomware.
Il rapido declino del cryptojacking potrebbe essere collegato al lavoro delle società di sicurezza informatica, in quanto diversi codici per il cryptojacking sono stati inseriti nelle liste nere e vengono individuati velocemente da gran parte dei software anti-virus. Inoltre, delle analisi recenti suggeriscono che il web-based cryptojacking non sia così redditizio come sembra.
Esempi di cryptojacking
A inizio 2018, il miner CoinHive è stato individuato all’interno di Youtube Ads, in esecuzione attraverso la piattaforma DoubleClick di Google.
Come identificare e prevenire gli attacchi cryptojacking?
Se sospetti che la tua CPU venga utilizzata più del solito e le ventole di raffreddamento facciano rumore per nessun motivo, è probabile che il tuo dispositivo stia venendo usato per il cryptomining. E’ importante scoprire se è il tuo computer ad essere infetto o se il cryptojacking avvenga sul browser. Il web-based cryptojacking è relativamente semplice da individuare e interrompere, mentre i mining malware che prendono di mira i sistemi informatici e le reti non sono sempre facili da trovare, in quanto sono stati sviluppati per rimanere nascosti o mascherati da qualcosa di legittimo.
Ci sono delle estensioni per browser in grado di prevenire in modo efficace gran parte degli attacchi di web-based cryptojacking. Tuttavia, oltre ad essere limitati ai miner web-based, queste contromisure sono solitamente su una lista nera statica, che potrebbe diventare presto obsoleta con l’arrivo di nuove tipologie di attacco. Quindi, si raccomanda anche di tenere aggiornato il proprio sistema operativo e il proprio software anti-virus.
Nel caso di imprese e grandi organizzazioni, è importante informare e educare gli impiegati in merito alle tecniche di cryptojacking e phishing, come e-mail fraudolente e siti web di spoofing.
Riassumendo:
Fai attenzione alle prestazioni del tuo dispositivo e all’attività della CPU;
Installa estensioni per il browser come MinerBlock, NoCoin e Adblocker;
Sii prudente con link e allegati e-mail;
Installa un anti-virus affidabile e tieni aggiornati il tuo sistema operativo e le applicazioni software;
Per le imprese: spiega ai tuoi impiegati le tecniche di cryptojacking e phishing.