I ricercatori di Malwarebytes hanno individuato una nuova variante di script malevolo dedito al cryptojacking , un codice pensato per rendersi invisibile agli occhi dell’utente pur continuando a sfruttare la potenza della CPU dopo la chiusura del browser .
Il codice JavaScript del nuovo miner da Web è infatti in grado di aprire una piccola finestra del browser con dimensioni fisse (100 per 40 pixel) e di nasconderla dietro la barra delle attività , fatto che permette al malware di continuare a funzionare anche alla chiusura della finestra principale del suddetto browser da parte dell’utente.
In questo modo lo script può risultare sostanzialmente invisibile , a meno che l’utente non modifichi le dimensioni della Taskbar – rendendo così visibile la finestra nascosta – o tenga sotto controllo l’utilizzo della CPU. Anche in quest’ultimo caso, il malware è progettato per mitigare i sospetti limitandosi a sfruttare una parte dei cicli-macchina del processore piuttosto che il 100 per cento com’è abitudine della “concorrenza”.
L’obiettivo finale è in ogni caso sempre lo stesso, vale a dire il mining di criptomoneta Monero tramite una variante personalizzata del solito script Coinhive . La chiusura del processo relativo alla finestra nascosta – tramite Gestione attività di Windows o tool di terze parti similari – è una misura sufficiente a interrompere le attività del malware.
Stando ai ricercatori, al momento lo script di mining invisibile o quasi è stato individuato all’interno di un singolo sito Web per adulti; vista la popolarità crescente di questo genere di minaccia, non è improbabile ipotizzare una proliferazione del medesimo modus operandi anche altrove.
Alfonso Maruccia