Elia Tufarolo

Cryptojacking, migliaia di siti infettati da miner

Dei cyber-criminali sono riusciti a inserire lo script di Coin-Hive all'interno di un widget, riuscendo a sfruttare migliaia di siti Internet, anche noti, per il mining di Monero. E le stime per il 2018 prospettano una situazione alquanto preoccupante

Roma - Troy Mursch, esperto di sicurezza informatica che lavora per Bad Packets Report, ha rilevato nei giorni scorsi una campagna di cryptojacking in pieno svolgimento, che è riuscita a infettare quasi 1.500 siti Internet.

La parola cryptojacking è un neologismo in voga in questo periodo, e sta ad indicare l'hack di siti e servizi Internet attuato con lo scopo di sfruttare indebitamente le CPU degli utenti per minare criptovalute - in questo caso Monero - attraverso il browser.

Il software vittima di questa campagna è un widget scritto in javascript - HelpOut, prodotto da LiveHelpNow - che fornisce servizi di live chat e supporto. Stando a quanto dichiarato da Mursch a Bleeping Computer, il widget è stato infettato con il noto script Coin-Hive; la maggior parte dei siti contenenti il widget infetto sono negozi online o relativi ad aziende: fra tutti spiccano Crucial, il noto brand commerciale di Micron Technology (azienda tra i leader nella produzione di semiconduttori), e la marca di abbigliamento Everlast.
LiveHelpNow ha confermato l'incidente di sicurezza, pubblicando un comunicato sul proprio sito Internet. Stando a quanto dichiarato, gli utenti coinvolti sono nell'ordine dei 5.000-10.000, mentre l'attacco - durato poco meno di 24 ore - è avvenuto compromettendo uno dei server CDN utilizzati dalla società.
Successivamente, Bad Packets Report ha annunciato l'avvenuta rimozione di Coin-Hive dal widget HelpOut.



Secondo un report pubblicato da MalwareBytes, le attività di criptojacking diverranno prioritarie per i cyber-criminali già il prossimo anno: ciò che rende preoccupante questa nuova moda è il fatto che si agisca in un'area grigia, in cui non è facile distinguere se il lavoro dei mining script sia legittimo, nonché se un sito che contiene questi script sia stato infettato o meno. In tutto ciò è importante ricordare che i mining script sono facilmente bloccabili attraverso l'uso di Ad blocker - come uBlock Origin - o per mezzo di apposite estensioni come No Coin.

Elia Tufarolo
Notizie collegate
  • AttualitàCrypto-Loot, il mining di Monero alternativo a Coin-HiveGli script per l'abuso della CPU dell'utente a scopo di mining si fanno sempre pių diffusi, sofisticati e allettanti. Un nuovo player entra nel settore con condizioni economiche vantaggiose, anche se gli utenti non gradiscono
  • AttualitàShowTime, scovato miner di MoneroOltre che in The Pirate Bay e nell'addon SafeBrowse per Chrome, Coin-Hive č stato rilevato anche nei siti Web della celebre emittente televisiva. Il network statunitense non ha rilasciato dichiarazioni, ma ha rimosso lo script
  • SicurezzaSafeBrowse, estensione di Chrome con miner incorporatoDopo il recente caso di The Pirate Bay si torna a parlare di mining dal browser con SafeBrowse, un'addon per Chrome che sfrutta la potenza di calcolo della CPU degli ignari utenti per minare Monero
  • AttualitàThe Pirate Bay, miner occulto di criptovaluteAlcune pagine del noto sito BitTorrent sfruttavano la CPU degli utenti per il mining della criptomoneta Monero. Una ricerca di ESET mostra che questo non č un caso isolato: l'uso dei miner nei siti Internet č un fenomeno in crescita, prossimo ad esplodere
28 Commenti alla Notizia Cryptojacking, migliaia di siti infettati da miner
Ordina
  • ...che siano infetti a "loro insaputa" e non monatti ipocriti e senzienti?
    non+autenticato
  • ad una beata minchia, invece i coglioni continuano ad uitilizzarli. Chi usa i javascript è colluso con i cyber-criminali. Siti con i javascript devono essere oscurati dai provider.
    non+autenticato
  • Il javascript può servire per qualcosa ma i siti (a parte casi rari) devono essere utilizzabili e funzionanti anche senza JS. Punto. Se un sito senza JS non funziona o funziona solo in parte, è fatto alla cazzo di cane.
    non+autenticato
  • E certo, torniamo alle caverne allora.

    Vi vorrei ricordare che parecchio tempo fa erano riusciti ad inserire malware persino nelle GIF animate; dobbiamo eliminare pure quelle?

    Torniamo al codice HTML 1.0 puro; solo testo senza neppure un'immagine.
    All'università mi ero imbattuto in una situazione del genere, grazie ad un vecchissimo computer Sperry Univac, con UNIX System V come sistema operativo e Lynx come browser testuale.

    Il problema è che riuscirebbero ad inserire il malware anche in quel caso.
    non+autenticato
  • - Scritto da: Alvaro Vitali
    > E certo, torniamo alle caverne allora.
    >
    > Vi vorrei ricordare che parecchio tempo fa erano
    > riusciti ad inserire malware persino nelle GIF
    > animate; dobbiamo eliminare pure
    > quelle?

    Non è possibile inserire malware nelle gif animate, visto che nulla viene eseguito e non contengono codice. Al limite puoi creare delle immagini malformate che contengono un exploit che sfrutta una particolare falla di un particolare software che apre le gif animate per fargli eseguire del codice. Di certo non funzionerà universalmente.

    >
    > Torniamo al codice HTML 1.0 puro; solo testo
    > senza neppure
    > un'immagine.
    > All'università mi ero imbattuto in una situazione
    > del genere, grazie ad un vecchissimo computer
    > Sperry Univac, con UNIX System V come sistema
    > operativo e Lynx come browser
    > testuale.
    >
    > Il problema è che riuscirebbero ad inserire il
    > malware anche in quel
    > caso

    Il tuo discorso è demenziale. Stai dicendo che siccome teoricamente è possibile sfruttare delle falle in qualsiasi software allora tanto vale lasciare eseguire tutto. Ma che discorso di merda è?
    non+autenticato
  • - Scritto da: Alvaro Vitali
    > E certo, torniamo alle caverne allora.
    >
    > Vi vorrei ricordare che parecchio tempo fa erano
    > riusciti ad inserire malware persino nelle GIF
    > animate; dobbiamo eliminare pure
    > quelle?
    >
    > Torniamo al codice HTML 1.0 puro; solo testo
    > senza neppure
    > un'immagine.
    > All'università mi ero imbattuto in una situazione
    > del genere, grazie ad un vecchissimo computer
    > Sperry Univac, con UNIX System V come sistema
    > operativo e Lynx come browser
    > testuale.
    >
    > Il problema è che riuscirebbero ad inserire il
    > malware anche in quel
    > caso.

    Qualcosa attivato silentemente da siti più o meno compromessi tipo esecuzioni JS dovrebbe essere consultabile e di domino pubblico, di modo che la comunità possa intervenire a garanzia del corretto operato; l'alternativa è rinunciare alla festure (per te ritornare addirittura all'età della pietra?).
    Quanto alle gif animate, sono l'unico che propro non ne sente il bisogno?
  • - Scritto da: ...
    > Il javascript può servire per qualcosa ma i siti
    > (a parte casi rari) devono essere utilizzabili e
    > funzionanti anche senza JS. Punto. Se un sito
    > senza JS non funziona o funziona solo in parte, è
    > fatto alla cazzo di
    > cane.

    In poche parole stai consigliando di abbandonare tutte le possibilità di servizi web asincroni basati su browser.

    Parlami dei costi di sviluppo per offrire un client nativo per ogni piattaforma.
    7K caratteri, vai [cit]
    non+autenticato
  • - Scritto da: Albedo non loggato
    > - Scritto da: ...
    > > Il javascript può servire per qualcosa ma i
    > siti
    > > (a parte casi rari) devono essere
    > utilizzabili
    > e
    > > funzionanti anche senza JS. Punto. Se un sito
    > > senza JS non funziona o funziona solo in
    > parte,
    > è
    > > fatto alla cazzo di
    > > cane.
    >
    > In poche parole stai consigliando di abbandonare
    > tutte le possibilità di servizi web asincroni
    > basati su
    > browser


    >
    > Parlami dei costi di sviluppo per offrire un
    > client nativo per ogni
    > piattaforma.
    > 7K caratteri, vai [cit]

    "Client nativo per ogni piattaforma" perché disabiliti JS?

    Ma vaffanculo analfabeta.
    non+autenticato
  • La tanto decantata sicurezza di Linux con questa news se ne va a fare benedire, visto che sono riusciti a infettare server Linux a go-go
    non+autenticato
  • Tu hai il cervello riprogrammato in modo da ripetere sempre la stessa frase. Vedi Linux dappertutto; te lo sogni pure di notte e ti svegli tutto sudato ...
    non+autenticato
  • - Scritto da: Pussiano
    > La tanto decantata sicurezza di Linux con questa
    > news se ne va a fare benedire, visto che sono
    > riusciti a infettare server Linux a
    > go-go

    No ma che dici ? Linux è l'OS più utilizzato nel mondo server ma NON quando c'è da prendere malware, ma scherziamo ? Solo i server windows vengono compromessi col malware.
    Non stiamo neanche a parlare di questa cosa. Hai visto qualcuno che ne ha parlato ? Ecco. Punto.
    non+autenticato
  • Queste cazzate le pensate solo voi; non esistono sistemi operativi sicuri al 100%.
    non+autenticato
  • esitare abuso del javascript.
    ormai quasi sito web usa ormai come minimo AngularJS Backbone.js Chaplin.js Closure Dojo Toolkit Ember.js Ext JS jQuery Knockout Meteor MooTools Prototype Rico script.aculo.us Sencha Touch SproutCore Wakanda YUI
    non+autenticato
  • Eh sì... una vera merda
    non+autenticato
  • Purtroppo anche fare siti web è diventato per gran parte legato a decisioni di markettari per cui

    - tutto si muove e sparaflasha manco fossimo alle giostre = ottimo

    - compatibilità e accessibilità? Che roba è? E soprattutto chissenefotte?

    - se disabilitano JS rischiano di non vedersi i banner rotanti? E allora facciamo tutti in JS così che se disabilitano non si vede un cazzo!

    - usiamo tanti framework che al giorno d'oggi fanno tanto figo
    non+autenticato
  • azzurra che spesso si blocca a metà? Ho ublock origin. La barra non va avanti, è forse colpa di certi script? su siti come tgcom ma non solo quello. Succede anche su Brave ? CHrome non lo voglio.
    user_
    1090
  • - Scritto da: user_
    > azzurra che spesso si blocca a metà? Ho ublock
    > origin. La barra non va avanti, è forse colpa di
    > certi script? su siti come tgcom ma non solo
    > quello. Succede anche su Brave ? CHrome non lo
    > voglio.

    Di che siti parli?
  • http://tgcom24.mediaset.it/
    su certe pagine di tgcom, anche all'homepage e anche su altri siti.
    -----------------------------------------------------------
    Modificato dall' autore il 28 novembre 2017 18.59
    -----------------------------------------------------------
    user_
    1090
  • - Scritto da: user_
    > http://tgcom24.mediaset.it/
    > su certe pagine di tgcom, anche all'homepage e
    > anche su altri siti.
    Ma perché rispondi ad un cretino che non sa neanche usare un browser?
    non+autenticato
  • Ma che ca dici?
    Firefox + ublock origin in windows non ha quei problemi, mentre in android sì.
    Ho pochissime altre estensioni installate, su android ho solo quella poi.
    user_
    1090
  • - Scritto da: user_
    > Ma che ca dici?
    > Firefox + ublock origin in windows non ha quei
    > problemi, mentre in android
    > sì.
    > Ho pochissime altre estensioni installate, su
    > android ho solo quella
    > poi.

    Ublock origin non basta: elimina molta pubblicità ma non esecuzioni JS malevole.
  • - Scritto da: user_
    > azzurra che spesso si blocca a metà? Ho ublock
    > origin. La barra non va avanti, è forse colpa di
    > certi script? su siti come tgcom ma non solo
    > quello. Succede anche su Brave ? CHrome non lo
    > voglio.

    Purtroppo si, dipende dal tipo di azione fatta dal rimedio adottato e non dal browser; io con firefox ed estensione NoScript spesso devo dare consenso manuale e digerirmi la cazzata (pubblicitaria normalmente), tanto che su alcun siti che frequento, valutando il disagio da patire, ho escluso l'azione NoScript.
  • non ho noscript, ho solo ublock origin, ma questo succede in android. Mentre in win 7 con firefox+ ublok origin non succede. In windows i siti come tgcom si caricano tutti e subito.
    -----------------------------------------------------------
    Modificato dall' autore il 29 novembre 2017 12.56
    -----------------------------------------------------------
    -----------------------------------------------------------
    Modificato dall' autore il 29 novembre 2017 12.57
    -----------------------------------------------------------
    user_
    1090
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 6 discussioni)