Crypto miners: the rise of a malware empire - Coinhive

Miner di criptovalute: l’ascesa di un impero di malware

Per creare una criptovaluta è necessario un processo chiamato “mining”. Ciò significa che è possibile prestare la potenza di calcolo del proprio computer per risolvere complesse equazioni matematiche. Quest’attività dipende da due fattori economicamente costosi: una fonte affidabile di energia e un hardware potente.

Quando nel corso del 2017 i prezzi delle criptovalute sono saliti alle stelle, è successo il finimondo. Se all’inizio dell’anno precedente un Bitcoin aveva un valore di 1.000 $, alla fine del 2017 è stato valutato circa 18.000 $. Questo aumento drastico e improvviso ha catturato anche l’attenzione dei malintenzionati. E quando parliamo di malintenzionati ci riferiamo agli autori di malware in generale, ma non solo, come vedrete più avanti in questo articolo. Che cosa spinge queste persone a correre così tanti rischi, come quello di perdere la libertà, per ottenere un guadagno personale? L’insaziabile desiderio di denaro potrebbe far parte della natura umana? Forse soltanto il tempo potrà darci una risposta. L’unica cosa certa è che oggi il crimine informatico rappresenta una minaccia come non mai.

Il pericolo risulta evidente se si osserva la particolare regola generica “PUA/CryptoMiner.gen”. Nel gennaio del 2018 la nostra protezione in tempo reale ha bloccato 1.893.300 file, nel febbraio del 2018 il numero era già aumentato in modo esponenziale fino a 6.233.300 file e nel marzo del 2018 aveva ormai superato quota 10 milioni, raggiungendo l’incredibile cifra di 11.453.200 file. Avira individua anche ulteriori famiglie di miner attraverso altre regole generiche, firme o rilevazioni CRC.

Focus su Coinhive: descrizione e meccanismi interni

Come scritto sopra, sul mercato delle criptovalute si è improvvisamente resa disponibile un’enorme quantità di denaro a cui attingere. Per prendere parte a questo processo, ai malintenzionati bastava solo un’idea. Un’idea che purtroppo è stata trovata in un legittimo e popolare servizio di mining di criptovalute integrato nel browser, di nome Coinhive. Si tratta di un miner di criptovalute in JavaScript che gli amministratori possono facilmente incorporare nei siti web. Il principio era facile come bere un bicchiere d’acqua: utilizzare in modo illecito questo JavaScript con metodi da malware.

Coinhive è apparso nel settembre del 2017 per minare la criptovaluta Monero (XMR). Era stato originariamente implementato come metodo alternativo agli annunci pubblicitari per permettere agli amministratori di generare ricavi dai siti web. Il suo flusso di lavoro consiste nell’eseguire lo script direttamente nel browser del visitatore e poi iniziare a minare la criptovaluta in background utilizzando la CPU. Gli hacker però si sono impossessati di questo servizio e lo hanno impiegato su siti web vulnerabili che avevano violato, iniziando a minare criptovalute in modo anonimo e silenzioso ogni volta che veniva effettuato un accesso al sito web. Naturalmente, non hanno mai lontanamente pensato di chiedere il permesso portando questo aspetto all’attenzione delle vittime. Il potere sta nei numeri: più siti web sfruttati equivalgono a più visitatori unici, il che significa una potenza superiore di CPU. Tutto ciò ha come risultato ovvio una quantità maggiore di criptovaluta.

Dal punto di vista degli hacker, questo schema fraudolento implica un uso scarso di risorse e la possibilità di accedere a una straordinaria fonte di denaro: ecco perché acquisterà sempre più popolarità. Quali sono le conseguenze per le vittime? Possiamo aspettarci qualsiasi cosa, da un calo delle prestazioni del dispositivo, determinato dal picco della CPU, fino a un accorciamento della durata della CPU a causa del surriscaldamento. Oppure una durata inferiore del ciclo di vita della batteria.

Qui potete vedere un esempio di un miner JavaScript in una delle forme più semplici:

Crypto miners: the rise of a malware empire - in-post / Coinhive

La prima riga del codice sorgente dello script ordinerà al browser della vittima di scaricare il file .js dal sito web di Coinhive. La variabile del miner dirà a Coinhive quale account effettua il mining della criptovaluta Monero (la nostra esclusiva chiave di attivazione) e la riga “miner.start” innescherà immediatamente l’attività.

Naturalmente, in questi script possono essere usate funzioni più avanzate, come thread e throttle:

Crypto miners: the rise of a malware empire - in-post

Il throttle indica essenzialmente un processo che regola la velocità con cui viene eseguita l’elaborazione delle applicazioni. Oppure, per dirla nel modo più semplice possibile, può essere usato per configurare la potenza della CPU utilizzata. Un livello più basso di throttle unito a un numero maggiore di thread produrrà il massimo effetto, poiché sono questi ultimi a stabilire quanta potenza di CPU verrà utilizzata nel browser del cliente.

Qualche mese fa a cadere vittima degli hacker delle criptovalute è stato il rinomato sito blackberrymobile.com.

Purtroppo, a causa dell’incredibile quantità di denaro che può essere “guadagnata” in un tempo relativamente breve e con costi impliciti vicini allo zero, non sono stati solo gli hacker a decidere di prendersi un pezzo della torta. Il noto sito torrent “The Pirate Bay” è tra quelli che hanno utilizzato il codice Coinhive tralasciando di comunicare ai visitatori che stava utilizzando i loro browser per minare criptovalute. Quindi, un’azione del genere non sarebbe da attribuire direttamente agli hacker, ma all’amministratore del sito web.

Questi tipi di attacchi sono stati ovviamente messi in atto su tutte le piattaforme disponibili, come Windows, Linux e MacOS. Coinhive è stato implementato per funzionare anche su dispositivi mobili. Nel Google Play Store sono state trovate svariate app che hanno utilizzato questa tecnologia di mining e la loro attività furtiva è stata innescata subito dopo l’installazione.

Sono perfino comparsi alcuni annunci dannosi su YouTube dopo che un threat actor è riuscito a introdurre uno script per il mining. Fortunatamente, YouTube ha individuato il problema e lo ha risolto nel giro di poche ore.

Come proteggere i vostri dispositivi da attacchi del genere?

  • Usate un antivirus: Avira, per fare un esempio di una nota applicazione di sicurezza, rileva con successo questo tipo di attacchi malware e li blocca.
  • Disattivate completamente JavaScript o attivatelo solo quando è strettamente necessario. Un consiglio è quello di eseguire uno strumento di blocco degli script chiamato NoScript, che abilita o disabilita rapidamente JavaScript.
  • Con l’aiuto di un programma interno di Windows chiamato “Gestione attività” è possibile tenere sott’occhio di frequente l’utilizzo della CPU per controllare eventuali picchi sospetti di attività. In tal caso, potrebbe indicare un’attività di mining in background. Il programma corrispondente per Mac è “Activity Monitor”.
  • Usate un’estensione del browser come “No Coin” per bloccare il mining di criptovalute. Funziona su Chrome e Firefox, ma non supporta i browser Microsoft Edge, Apple Safari e Internet Explorer.

Riflessioni personali

Pensateci bene prima di investire in queste valute, poiché il loro mercato si sta avvicinando alla saturazione. Bitcoin è la più vecchia e la più costosa e i suoi alti e bassi modificano la situazione di tutte le altre criptovalute.

Questo articolo è disponibile anche in: IngleseTedescoFrancese

Virus Analyst