Miner di criptovalute nascosti nei siti web: è la nuova piaga della rete

Miner di criptovalute nascosti nei siti web: è la nuova piaga della rete

Un nuovo fenomeno sta interessando il web: in sempre più siti web vengono integrati script di mining che usano le risorse del computer del visitatore per minare criptovalute. Spesso i gestori del sito sono totalmente ignari, trattandosi di compromissioni effettuate da terze parti

di Andrea Bai pubblicata il , alle 15:01 nel canale Sicurezza
 

Dopo il flagello dei ransomware, un'altra moderna piaga biblica si sta diffondendo sulla rete: i miner di criptovalute occultati all'interno di siti web, che sfruttano le risorse del PC dei visitatori a loro insaputa. Willem de Groot, ricercatore di sicurezza indipendente, ha individuato 2496 siti web che ospitano - per lo più inconsapevolmente - criptominer di Monero, nona criptovaluta per capitalizzazione di mercato.

De Groot ha indicato che i siti in questione operano software obsoleto con problemi di sicurezza e vulnerabilità note, che sono state sfruttate da terze parti così da ottenere controllo e iniettare codice nel sito web preso di mira. Tra i siti compromessi vi sono anche vittime illustri come ad esempio shop.subaru.com.au.

Si tratta di una tendenza in netta crescita, fomentata principalmente da Coinhive.com, una realtà che propone il proprio servizio come un sistema di monetizzazione per siti web alternativo a pubblicità e banner. A pensare di monetizzare il traffico web, senza dover appoggiarsi esclusivamente sui banner ma sfruttando le potenzialità delle criptovalute, ci ha pensato qualche tempo fa anche The Pirate Bay. Coinhive mette a disposizione un'interfaccia di programmazione molto facile da usare alla portata sia di chi ha veramente intenzione di integrare un meccanismo del genere nel sito che gestisce, sia di terze parti con scopi malevole che vogliono infettare siti web altrui.

In questo modo il computer del visitatore di uno dei siti compromessi viene trasformato in un piccolo miner di criptovalute, i cui proventi sono incassati da Coinhive e solo una piccola percentuale viene girata al titolare di un account Coinhive. Ovviamente l'utente le cui risorse computazionali vengono sfruttate letteralmente "a sbafo" non riceve alcun compenso. Coinhive, inoltre, non richiede che i siti su cui girano i propri script debbano informare i visitatori sull'uso aggiuntivo delle risorse. Quando lo script di mining entra in funzione drena l'intera capacità elaborativa del processore, comportando ovviamente un maggior consumo energetico del sistema che va a ricadere, in misura più o meno consistente a seconda della frequenza con cui ciò accade, sulla bolletta elettrica.

A tal proposito la società di sicurezza SpiderLabs di Trustwave ha recentemente stimato un costo mensile di circa 12,30 Euro (prendendo a riferimento il costo medio della corrente in Germania, di 34 centesimi per kWh) per un sistema desktop "ordinario" su cui una pagina web recante gli script di Coinhive avesse la possibilità di minare 24/7. Una cifra che riferendosi al puro consumo di corrente, non comprende ovviamente i costi occulti del deterioramento dell'hardware dovuto al carico di lavoro sostenuto.

La pratica è emersa nelle scorse settimane quando la società di sicurezza Sucuri aveva individuato circa 500 siti con una versione compromessa di WordPress e altri sistemi CMS e partecipanti al network di Coinhive. Stando ai numeri citati da De Groot il problema si è quindi ampliato di un fattore 5, confermando come la situazione si stia aggravando in maniera significativa. Fin dagli albori del fenomeno le società di sicurezza, in particolare Malwarebytes, hanno iniziato a mettere in atto alcune contromisure.

"La ragione per la quale abbiamo bloccato i tentativi di accesso a Coinhive è perché ci sono gestori di siti che non chiedono il permesso dell'utente per eseguire applicazioni avide di risorse. Un miner di Bitcoin ordinario può essere incredibilmente leggero o esigente, dipende da quanta capacità di calcolo l'utente vuole usare. La versione JavaScript di un miner permette di personalizzare il livello di risorse da dedicare alle operazioni di mining, ma lascia tutto ciò nelle mani del gestore del sito" dichiarò allora Malwarebytes. In un recente documento, che approfondisce il problema, la società ha dichiarato che da quando il fenomeno ha iniziato a verificarsi, si è arrivati a bloccare una media di 8 milioni di tentativi di accesso al giorno a pagine che operano criptominer non autorizzati.

De Groot ha individuato che l'85% dei quasi 2500 siti che ha monitorato, generano criptovalute per conto di due soli account Coinhive. Il restante 15% si sparpaglia su altri account, che però secondo de Groot sono gestiti da un singolo individuo o da un gruppo.

Ciò che rende ancor più preoccupante una situazione già poco piacevole di suo è il fatto che il problema si sta estendendo anche alle app Android, anche in questo caso con una crescita spaventosa. Quando Sucuri individuò i circa 500 siti web compromessi, parallelamente furono individuate da TrendMicro alcune app scaricate da Google Play per un complessivo (allora) di 50 mila download, contenenti un meccanismo che avviava uan finestra di browser nascosta che puntava ad un sito web contentente criptominer. Nel corso della gornata di ieri i ricercatori di Ixia hanno individuato altre due app con un complessivo combinato di 15 milioni di download.

Visto il tasso di crescita del fenomeno è lecito attendersi la comparsa di altri servizi simili a Coinhive così come il proliferare di app contenenti criptominer occulti, con il rischio di assisstere ad un'accelerazione improvvisa del problema, più di quanto non stia già avvenendo ora. Gli accorgimenti che si possono suggerire per arginare il problema sono fondamente di due tipi: in primis le usuali abitudini di comportamento dettate dal buon senso e dal giusto grado di diffidenza (specie nel caso di app di dubbia utilità o di dubbia origine), in seconda battuta dotarsi degli opportuni strumenti (antimalware e firewall) e prestare attenzione alle impostazioni del browser così da ridurre il più possibile l'esecuzione di script indesiderati, oltre ad inserire un opportuno reindirizzamento localhost ai domini coin-hive.com e coinhive.com nel file hosts del sistema.

43 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
s-y09 Novembre 2017, 15:08 #1
eccoci...

urge estensione mineblocker, o simile
Bivvoz09 Novembre 2017, 15:10 #2
Comunque il web sta diventando un posto di M.
Alfhw09 Novembre 2017, 15:13 #3
E' una porcata però bisogna ammettere che l'idea è geniale...
Ultram8209 Novembre 2017, 15:16 #4
"Un nuovo fenomeno sta interessando il web: in sempre più siti web vengono integrati script di mining >>che usano le risorse del computer del visitatore per minare criptovalute<<."

Ora capisco perchè i siti diventano sempre più lenti =.=
Oltre alla piaga dei Web Fonts si intende eh
s-y09 Novembre 2017, 15:17 #5
prima era seti@home, adesso meti@cul
gd350turbo09 Novembre 2017, 15:21 #6
Mah..

Se si usa un intel 8700k per internet, magari un pò di mining riescono a farlo, ma se fanno come me che uso un portatile di dodici anni fa, eh fanno fatica !

Anche su cellulare, te ne accorgi subito il cellulare diventa bollente e la batteria va a zero, non credo che ci mini un gran che
Varg8709 Novembre 2017, 15:38 #7
NoScript?
Vash8809 Novembre 2017, 15:42 #8
Originariamente inviato da: gd350turbo
Mah..

Se si usa un intel 8700k per internet, magari un pò di mining riescono a farlo, ma se fanno come me che uso un portatile di dodici anni fa, eh fanno fatica !

Anche su cellulare, te ne accorgi subito il cellulare diventa bollente e la batteria va a zero, non credo che ci mini un gran che


Moltiplica il tuo caso per milioni di volte e avrai un idea della dimensione del problema. Prima che qualcuno risolva il problema passa comunque un lasso di tempo non indifferente e alcune persone non sono proprio in grado. La stragrande maggioranza delle persone oltretutto non ha idea di cosa sia uno script, e non dovrebbe averla. Come già detto, i produttori di browser devono tirare fuori una soluzione al problema. Quando viene eseguito uno script così invasivo di risorse dovrebbe essere autorizzato ogni volta.
Originariamente inviato da: Varg87
NoScript?


Purtroppo è l'unica soluzione, ma per navigare in sicurezza ormai non basta neanche più l'accoppiata adblock+Noscript. E' così invasiva delle funzionalità del sito che per navigare una pagina bisogna capire voce per voce cosa fermare e cosa no, quindi molto spesso si disattiva noscript e basta.
MiKeLezZ09 Novembre 2017, 15:42 #9
Originariamente inviato da: gd350turbo
Mah..

Se si usa un intel 8700k per internet, magari un pò di mining riescono a farlo, ma se fanno come me che uso un portatile di dodici anni fa, eh fanno fatica !

Anche su cellulare, te ne accorgi subito il cellulare diventa bollente e la batteria va a zero, non credo che ci mini un gran che
Forse ad alcuni di voi non è chiara l'entità del problema...

Una GTX1080 mina 30 MH/s ed è il minimo accettabile per fare due spicci...

Mettiamo che dei programmi ingannevoli usino solo il 2/3% della CPU (assolutamente inindentificabile) e quindi riescano a fare solo 0,01 MH/s.

Ora prendi un programma come Clean Master installato su 50 milioni di dispositivi e moltiplicalo per quei MH/s di cui sopra.

Significa che un ipotetico hacker mina dalla rete 500.000 MH/s con un profitto di 60.000 euro/mese (netto e no-tax).

Personalmente credo che questi cosidetti "zombie" esistano sin da quando esiste il mining, non è assolutamente una cosa recente.
s-y09 Novembre 2017, 15:42 #10
Originariamente inviato da: Varg87
NoScript?


teoricamente dovrebbe essere sufficiente

ma la questione non è 'tra noi' che insomma, chi frequenta siti tennici si sa bene o male difendere, ma per tutto il resto del pianeta

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^