Virus e Criptovalute: i Miner

Dopo il flagello dei ransomware, un’altra moderna piaga biblica si sta diffondendo sulla rete: i miner di criptovalute occultati all’interno di siti web, che sfruttano le risorse del PC dei visitatori a loro insaputa. Willem de Groot, ricercatore di sicurezza indipendente, ha individuato 2496 siti web che ospitano – per lo più inconsapevolmente – criptominer di Monero, nona criptovaluta per capitalizzazione di mercato.

De Groot ha indicato che i siti in questione operano software obsoleto con problemi di sicurezza e vulnerabilità note, che sono state sfruttate da terze parti così da ottenere controllo e iniettare codice nel sito web preso di mira. Tra i siti compromessi vi sono anche vittime illustri come ad esempio shop.subaru.com.au.

Si tratta di una tendenza in netta crescita, fomentata principalmente da Coinhive.com, una realtà che propone il proprio servizio come un sistema di monetizzazione per siti web alternativo a pubblicità e banner. A pensare di monetizzare il traffico web, senza dover appoggiarsi esclusivamente sui banner ma sfruttando le potenzialità delle criptovalute, ci ha pensato qualche tempo fa anche The Pirate Bay. Coinhive mette a disposizione un’interfaccia di programmazione molto facile da usare alla portata sia di chi ha veramente intenzione di integrare un meccanismo del genere nel sito che gestisce, sia di terze parti con scopi malevole che vogliono infettare siti web altrui.

In questo modo il computer del visitatore di uno dei siti compromessi viene trasformato in un piccolo miner di criptovalute, i cui proventi sono incassati da Coinhive e solo una piccola percentuale viene girata al titolare di un account Coinhive. Ovviamente l’utente le cui risorse computazionali vengono sfruttate letteralmente “a sbafo” non riceve alcun compenso. Coinhive, inoltre, non richiede che i siti su cui girano i propri script debbano informare i visitatori sull’uso aggiuntivo delle risorse. Quando lo script di mining entra in funzione drena l’intera capacità elaborativa del processore, comportando ovviamente un maggior consumo energetico del sistema che va a ricadere, in misura più o meno consistente a seconda della frequenza con cui ciò accade, sulla bolletta elettrica.

A tal proposito la società di sicurezza SpiderLabs di Trustwave ha recentemente stimato un costo mensile di circa 12,30 Euro (prendendo a riferimento il costo medio della corrente in Germania, di 34 centesimi per kWh) per un sistema desktop “ordinario” su cui una pagina web recante gli script di Coinhive avesse la possibilità di minare 24/7. Una cifra che riferendosi al puro consumo di corrente, non comprende ovviamente i costi occulti del deterioramento dell’hardware dovuto al carico di lavoro sostenuto.

La pratica è emersa nelle scorse settimane quando la società di sicurezza Sucuri aveva individuato circa 500 siti con una versione compromessa di WordPress e altri sistemi CMS e partecipanti al network di Coinhive. Stando ai numeri citati da De Groot il problema si è quindi ampliato di un fattore 5, confermando come la situazione si stia aggravando in maniera significativa. Fin dagli albori del fenomeno le società di sicurezza, in particolare Malwarebytes, hanno iniziato a mettere in atto alcune contromisure.

“La ragione per la quale abbiamo bloccato i tentativi di accesso a Coinhive è perché ci sono gestori di siti che non chiedono il permesso dell’utente per eseguire applicazioni avide di risorse. Un miner di Bitcoin ordinario può essere incredibilmente leggero o esigente, dipende da quanta capacità di calcolo l’utente vuole usare. La versione JavaScript di un miner permette di personalizzare il livello di risorse da dedicare alle operazioni di mining, ma lascia tutto ciò nelle mani del gestore del sito” dichiarò allora Malwarebytes. In un recente documento, che approfondisce il problema, la società ha dichiarato che da quando il fenomeno ha iniziato a verificarsi, si è arrivati a bloccare una media di 8 milioni di tentativi di accesso al giorno a pagine che operano criptominer non autorizzati.

De Groot ha individuato che l’85% dei quasi 2500 siti che ha monitorato, generano criptovalute per conto di due soli account Coinhive. Il restante 15% si sparpaglia su altri account, che però secondo de Groot sono gestiti da un singolo individuo o da un gruppo.

Ciò che rende ancor più preoccupante una situazione già poco piacevole di suo è il fatto che il problema si sta estendendo anche alle app Android, anche in questo caso con una crescita spaventosa. Quando Sucuri individuò i circa 500 siti web compromessi, parallelamente furono individuate da TrendMicro alcune app scaricate da Google Play per un complessivo (allora) di 50 mila download, contenenti un meccanismo che avviava uan finestra di browser nascosta che puntava ad un sito web contentente criptominer. Nel corso della gornata di ieri i ricercatori di Ixia hanno individuato altre due app con un complessivo combinato di 15 milioni di download.

Visto il tasso di crescita del fenomeno è lecito attendersi la comparsa di altri servizi simili a Coinhive così come il proliferare di app contenenti criptominer occulti, con il rischio di assisstere ad un’accelerazione improvvisa del problema, più di quanto non stia già avvenendo ora. Gli accorgimenti che si possono suggerire per arginare il problema sono fondamente di due tipi: in primis le usuali abitudini di comportamento dettate dal buon senso e dal giusto grado di diffidenza (specie nel caso di app di dubbia utilità o di dubbia origine), in seconda battuta dotarsi degli opportuni strumenti (antimalware e firewall) e prestare attenzione alle impostazioni del browser così da ridurre il più possibile l’esecuzione di script indesiderati, oltre ad inserire un opportuno reindirizzamento localhost ai domini coin-hive.com e coinhive.com nel file hosts del sistema.

ADB.Miner

Questa volta si tratta di una minaccia che colpisce i dispositivi basati su sistema operativo Android: non solo cellulari, quindi, ma anche tablet, tv-box e qualsiasi altro dispositivo che fa uso del sistema operativo mobile di Google.

Il worm, conosciuto con il nome di ADB.Miner, si è diffuso lo scorso 5 febbraio infettando circa 7000 dispositivi, con una preponderanza nelle aree di Cina e Corea del Sud. I ricercatori della società 360 Netlab hanno riscontrato una capacità di diffusione molto elevata, con il numero di dispositivi rilevati che è raddoppiato ogni 12 ore.

Il malware si diffonde sfruttando l’interfaccia Android Debug Bridge tramite la porta 5555, che tuttavia di norma è una porta chiusa. Non è chiaro attualmente come e quando la porta sia stata aperta sui dispositivi infettati, ma i ricercatori affermano che al momento dell’infezione la porta era già aperta. Il malware effettua una scansione sulla rete per identificare i dispositivi con porta TCP 5555 aperta ed esegue un comando ADB per copiarsi sulle macchine vulnerabili. E’ interessante osservare che il modulo incaricato di effettuare la scansione delle porte è lo stesso usato da Mirai, il malware che prende di mira i dispositivi IoT per creare botnet enormi con un’elevatissima potenza di fuoco.

Come accade spesso con questa nuova tipologia di malware, ADB.Miner sfrutta le risorse di computazione del dispositivo infetto per minare Monero e inviare tutti i frutti del lavoro allo stesso indirizzo wallet.

fonte: HWUpgrade

 

Posted in sicurezza and tagged , , , , .

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.