Alfonso Maruccia

Il cryptojacking si è fatto furbo

Una nuova campagna malevola a base di mining Web si nasconde alla vista dell'utente, continuando a sfruttare la CPU locale anche dopo la chiusura del browser. Un "trucco" fin qui identificato su un singolo sito Web per adulti ma che potrebbe presto crescere in popolarità

Roma - I ricercatori di Malwarebytes hanno individuato una nuova variante di script malevolo dedito al cryptojacking, un codice pensato per rendersi invisibile agli occhi dell'utente pur continuando a sfruttare la potenza della CPU dopo la chiusura del browser.

Il codice JavaScript del nuovo miner da Web è infatti in grado di aprire una piccola finestra del browser con dimensioni fisse (100 per 40 pixel) e di nasconderla dietro la barra delle attività, fatto che permette al malware di continuare a funzionare anche alla chiusura della finestra principale del suddetto browser da parte dell'utente.

In questo modo lo script può risultare sostanzialmente invisibile, a meno che l'utente non modifichi le dimensioni della Taskbar - rendendo così visibile la finestra nascosta - o tenga sotto controllo l'utilizzo della CPU. Anche in quest'ultimo caso, il malware è progettato per mitigare i sospetti limitandosi a sfruttare una parte dei cicli-macchina del processore piuttosto che il 100 per cento com'è abitudine della "concorrenza".

L'obiettivo finale è in ogni caso sempre lo stesso, vale a dire il mining di criptomoneta Monero tramite una variante personalizzata del solito script Coinhive. La chiusura del processo relativo alla finestra nascosta - tramite Gestione attività di Windows o tool di terze parti similari - è una misura sufficiente a interrompere le attività del malware.

Stando ai ricercatori, al momento lo script di mining invisibile o quasi è stato individuato all'interno di un singolo sito Web per adulti; vista la popolarità crescente di questo genere di minaccia, non è improbabile ipotizzare una proliferazione del medesimo modus operandi anche altrove.

Alfonso Maruccia

fonte immagine
Notizie collegate
  • SicurezzaCryptojacking, migliaia di siti infettati da minerDei cyber-criminali sono riusciti a inserire lo script di Coin-Hive all'interno di un widget, riuscendo a sfruttare migliaia di siti Internet, anche noti, per il mining di Monero. E le stime per il 2018 prospettano una situazione alquanto preoccupante
  • AttualitàCoinhive, script malevoli anche nelle app AndroidIl mining invisibile di criptomoneta Monero si fa strada su nuovi vettori di attacco, e adesso pure gli utenti di gadget mobile dovranno stare attenti alle app che scaricano dal Play Store. Partecipano al mining anche i siti WordPress compromessi
  • AttualitàThe Pirate Bay, il ritorno di Coin-HiveIl popolare motore di ricerca torrent è tornato al mining di Monero, un "business" che a quanto pare è qui per restare accanto al classico advertising. Ma i rischi, soprattutto per TPB stessa, sono notevoli
  • AttualitàShowTime, scovato miner di MoneroOltre che in The Pirate Bay e nell'addon SafeBrowse per Chrome, Coin-Hive è stato rilevato anche nei siti Web della celebre emittente televisiva. Il network statunitense non ha rilasciato dichiarazioni, ma ha rimosso lo script
  • SicurezzaSafeBrowse, estensione di Chrome con miner incorporatoDopo il recente caso di The Pirate Bay si torna a parlare di mining dal browser con SafeBrowse, un'addon per Chrome che sfrutta la potenza di calcolo della CPU degli ignari utenti per minare Monero
28 Commenti alla Notizia Il cryptojacking si è fatto furbo
Ordina
  • I browser sono SFOGLIATORI, ovvero sono strumenti nati con un solo scopo: rendere facile sfogliare e comporre documenti sparsi in giro. Diciamo al UI per una Wiki. Usarli da "piattaforma" o "OS guest che gira su un host fisico" è semplicemente analogo ad usare un trapano a colonna con un cucchiaio al posto della punta per girare il sugo facendo meno fatica. Non può funzionare bene.

    Prima o poi lo si accetterà e magari si proporrà la strafiga novità di turno, brutta copia di quel che han disegnato decenni fa con Multics/Plan9...
    non+autenticato
  • Pensa che qui ci sono dei ritardati che ti dicono che se disabiliti JavaScript devi "creare un client diverso per ogni piattaforma" (?)
    non+autenticato
  • Come ha già sottolineato Panda, quello del cryptojacking è un problema esclusivo di winsozz e chi sostiene il contrario o sta trollando oppure è un incompetente e di certo un winaro. Linux è chiaramente immune al cryptomining. A conferma di quanto da me affermato - soprattutto per evitare sterili polemiche da parte dei soliti mezz'utonti winari - ecco qualche link:

    Trojan per Linux usa i server per minare Bitcoin:
    http://securityinfo.it/2016/08/12/trojan-linux-usa...

    Linux malware enslaves Raspberry Pi to mine cryptocurrency:
    http://www.zdnet.com/article/linux-malware-enslave...

    Linux Servers Hijacked to Mine Cryptocurrency via SambaCry Vulnerability:
    https://www.bleepingcomputer.com/news/security/lin...

    https://twitter.com/omri9741/status/87273122885980...

    E adesso scusatemi ma devo proprio andare perché ho appuntamento con una trojan da capogiro conosciuta in chat l'altro ieri via raspberry grazie al cuggino hakker di un sistemista linux e che risponde al più che intrigante nick di Linux.Lady ! Occhiolino
  • Panda che fai, cambi nick per andare avanti con i solite flame window contro linux contro apple?

    Il malware dell'articolo gira in un qualunque browser, basta che i pop up siano abilitati.
    non+autenticato
  • Ma che minchia stai dicendo? Newbie, inesperto
    non+autenticato
  • - Scritto da: vrioexo
    > Come ha già sottolineato Panda, quello del
    > cryptojacking è un problema esclusivo di winsozz
    > e chi sostiene il contrario o sta trollando
    > oppure è un incompetente e di certo un winaro.
    > Linux è chiaramente immune al cryptomining. A
    > conferma di quanto da me affermato - soprattutto
    > per evitare sterili polemiche da parte dei soliti
    > mezz'utonti winari - ecco qualche
    > link:

    > Trojan per Linux usa i server per minare Bitcoin:
    > http://securityinfo.it/2016/08/12/trojan-linux-usa

    Ma deve trovare un sito che abbia il database giusto con la password lasciata vuota...

    > Linux malware enslaves Raspberry Pi to mine
    > cryptocurrency:
    > http://www.zdnet.com/article/linux-malware-enslave

    Tutti hanno un raspberry attaccato alla rete...

    > Linux Servers Hijacked to Mine Cryptocurrency via
    > SambaCry Vulnerability:
    > https://www.bleepingcomputer.com/news/security/lin
    >
    > https://twitter.com/omri9741/status/87273122885980

    Il terzo not found, il quarto twitter....
    Beh che argomenti !!!

    > E adesso scusatemi ma devo proprio andare perché
    > ho appuntamento con una trojan da capogiro
    > conosciuta in chat l'altro ieri via raspberry
    > grazie al cuggino hakker di un sistemista linux e
    > che risponde al più che intrigante nick di
    > Linux.Lady !
    >Occhiolino

    Guarda, che sei un credulone che non capisce cosa legge e cosa posta si è capito dalle prime righe.
    non+autenticato
  • - Scritto da: Passante
    > Ma deve trovare un sito che abbia il database giusto con la password lasciata vuota...

    Ma lo hai letto l'articolo?

    ''Secondo i ricercatori, il parco macchine con queste caratteristiche sarebbe piuttosto ampio e Linux.Lady potrebbe quindi contare su più di 30.000 potenziali bersagli.''

    TIPS AND TRICKS: se in questo momento vicino a te si dovesse per caso trovare un informatico, fagli leggere l'articolo in questione e poi chiedigli gentilmente di spiegartelo in parole semplici, magari facendotelo tradurre dall'italiano al linariano.

    - Scritto da: Passante
    > Il terzo not found

    Il link di bleepingcomputer è corretto e se non funziona è un problema dovuto alla configurazione. . . .e qui mi fermo perché sono sicuro che avrai già capito il mio discorso, visto che sei il classico sistemista Linux...o sbaglio? però se vuoi ti spiego lo stesso come fare ad accedervi...poi però non lamentarti se ti danno dell'incompetente.

    Ed ecco qui l'ennesima ciotola di pappa pronta:
    https://thehackernews.com/2017/06/linux-samba-vuln...

    - Scritto da: Passante
    > il quarto twitter....Beh che argomenti !!!

    eh sì...che argomenti...!!! @malwrhunterteam, @malware_traffic, @kafeine...assieme a tutta la restante allegra combriccola: chi mai saranno costoro se non dei fessacchiotti capaci solo di scovare l'ennesima vulnerabilità non fixata del pinguino? andassero tutti a doppioclikkare su winsozz invece di perdere tempo con gli 0day dell'inviolabile Linux!

    - Scritto da: Passante
    > Tutti hanno un raspberry attaccato alla rete..

    Ma lo hai letto l'articolo?

    ''Some 12.5 million of the single-board computers have been sold over the past five years, according to the official Raspberry Pi Magazine.''

    Su 12.5 milioni di Raspberry venduti soltanto negli ultimi 5 anni...dici che qualcuno non lo trovano online ''trapanabile''? giammai! Il pinguino è un baluardo insormontabile: lo sanno anche i muri... persino quei boccaloni dei winari!

    Thousands of Devices Hacked by Rakos Botnet:
    http://www.securityweek.com/thousands-devices-hack...

    ''Experts determined that more than 45 percent of the compromised devices were Raspberry Pis, followed by Open Embedded Linux Entertainment Center (OpenELEC) systems, which also typically run on Raspberry Pi.''

    Vedi anche l'analisi della botnet portata avanti dal ricercatore Pierluigi Paganini ''The Rakos botnet - Exploring a P2P Transient Botnet From Discovery to Enumeration'':
    https://securityaffairs.co/wordpress/58931/malware...

    ''Another interesting finding of this research is related to the victims devices as seen in Figure 11. At least 45% of them are Raspberry PI...''

    TIPS AND TRICKS: se in questo momento vicino a te si dovesse per caso trovare un informatico, fagli leggere l'articolo in questione e poi chiedigli gentilmente di spiegartelo in parole semplici, magari facendotelo tradurre dall'inglese all'italiano con successivo porting in linariano.

    - Scritto da: Passante
    > Guarda, che sei un credulone che non capisce cosa legge e cosa posta si è capito dalle prime righe.

    Guarda, qui l'unico credulone è chi s'illude che quello scolapasta chiamato Linux sia invulnerabile sia al cryptojacking che al ransomware:

    Web Hosting Company Pays $1 Million to Ransomware Hackers to Get Files Back:
    https://thehackernews.com/2017/06/web-hosting-rans...
    -----------------------------------------------------------
    Modificato dall' autore il 02 dicembre 2017 22.21
    -----------------------------------------------------------
  • e tutta questa incredibile spatafiata di copia/incolla di simil scam per dire cosa? che una macchina mal configurata sotto internet e' vulnerabile?
    non+autenticato
  • Leggendo l'articolo linkato ho visto che il trucco è veramente semplice, gioca semplicemente con le dimensioni e la posizione relativa della finestra nello schermo. Questo significa che se funziona o no non dipende dal sistema operativo ma da come è configurato il browser, con o senza blocco dei pop-up.
    Ma c'è una cosa che non capisco. La taskbar nasconde la finestra, ma dovrebbe mostrare l'icona del processo, l'articolo linkato non spiega come faccia a sparire anche quella, secondo me hanno spiegato male, quando hai tanti processi della stessa applicazione la taskbar li raggruppa, solo così secondo me si puo nascondere l'icona del task. Ma se questa ipotesi è corretta vuol dire che l'articolo di PI contiene una cazzata:

    ... fatto che permette al malware di continuare a funzionare anche alla chiusura della finestra principale del suddetto browser da parte dell'utente ...

    Se l'utente chiude tutti le altre finestre del browser sulla taskbar di dovrebbe ritrovare un'icona di troppo, abbastanza per iniziare ad indagare.
    non+autenticato
  • - Scritto da: be7dbe04e93

    > Se l'utente chiude tutti le altre finestre del
    > browser sulla taskbar di dovrebbe ritrovare
    > un'icona di troppo, abbastanza per iniziare ad
    > indagare.

    Infatti è così, il trucco gioca sull'ignoranza, chiediti quante persone sanno cosa sono quelle iconcine.
    non+autenticato
  • > chiediti quante persone sanno cosa sono quelle
    > iconcine.

    Non esageriamo.
    non+autenticato
  • Ovviamente stiamo parlando di qualcosa che riguarda solo i winari.
  • - Scritto da: panda rossa
    > Ovviamente stiamo parlando di qualcosa che
    > riguarda solo i winari.
    Ti misuri sempre sul tuo metro vero? Tutti idioti a questo mondo, speri sempre che tutti siano come te per sentirti meno solo
    non+autenticato
  • - Scritto da: panda rossa
    > Ovviamente stiamo parlando di qualcosa che
    > riguarda solo i
    > winari.

    Hmmm... in che senso?
    maxsix
    10806
  • - Scritto da: maxsix
    > - Scritto da: panda rossa
    > > Ovviamente stiamo parlando di qualcosa che
    > > riguarda solo i
    > > winari.
    >
    > Hmmm... in che senso?

    C'e' tanto di screenshot nella pagina dell'articolo.
  • - Scritto da: panda rossa

    > C'e' tanto di screenshot nella pagina
    > dell'articolo.

    sotto Linux te la buttano direttamente su un altro desktop e te ne accorgi solo quando spegni il PC, cioè mai perchè linux non va spento, LOL
    non+autenticato
  • Bella questa funzionalità, mi metti qui il codice javascript, o un link ad esso, per aprire una nuova finestra del browser in un altro desktop mi interesserebbe molto Rotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridere
  • Lui è un vero hackaro Rotola dal ridere
    non+autenticato
  • - Scritto da: ....
    > Lui è un vero hackaro Rotola dal ridere

    Allora chiediti come fa ad andare sotto la barra di win visto che che la funzione moveTo() non lo permetteOcchiolino
    non+autenticato
  • In effetti pensare che tu possa andare oltre al guardare le figure è da illusi
    non+autenticato
  • - Scritto da: panda rossa
    > Ovviamente stiamo parlando di qualcosa che
    > riguarda solo i
    > winari.

    Eh ? Spiega...spiega un po'....
    non+autenticato
  • - Scritto da: panda rossa
    > Ovviamente stiamo parlando di qualcosa che
    > riguarda solo i
    > winari.

    Veramente le seghe se le fanno più i cantinari come te
    non+autenticato