Le criptovalute stanno stravolgendo il mondo.
Il prezzo volatile dei Bitcoin continua a cambiare e i media ne seguono l’andamento: passato da $0 a $1.000 in 1.789 giorni, da $1,000 a $2.000 in 1.271 giorni e da $6.000 a $7.000 in soli 13 giorni. Secondo Google Trends, le ricerche legate alla frase “acquisto bitcoin” hanno superato quelle relative a “acquisto oro” dopo aver sorpassato in precedenza quelle di acquisto di argento.
Naturalmente, il prezzo dei Bitcoin e altre criptovalute non è stato ignorato dai cybercriminali. E’ da un po’ di tempo, ormai, che si avvalgono di questa valuta per le loro operazioni, per esempio chiedendo il pagamento dei riscatti dei ransomware in Bitcoin. Questi comportamenti potrebbero derivare dal crescente valore di queste valute, così come dall’anonimato offerto rispetto al sistema bancario tradizionale.
Tutto ciò, sommato alle preoccupazioni sull’eccessiva attenzione al valore delle criptovaluta, ha spinto molti a mantenere le distanze. Tuttavia, nuove ricerche Palo Alto Networks hanno rivelato come alcuni di noi potrebbero arricchire altri in criptovaluta senza saperlo e senza condividerne i guadagni.
Diventare minatori di qualcun altro
Il trucco sta nel modo in cui le criptovaluta vengono accumulate. Il “mining” è un processo di elaborazione molto intenso che i computer all’interno di una rete di criptoivalutra effettuano per verificare la transazione, denominata blockchain, e ricevere monete digitali in cambio. Molti siti contengono codice che, di nascosto, utilizza il computer di un visitatore per effettuare il mining della preziosa criptovaluta. Il codice viene immesso da hacker che sfruttano la scarsa sicurezza dei siti o bug nel software Web.
Tuttavia, queste operazioni richiedono una notevole potenza di calcolo e questo spiega il successo del cosiddetto “browser coin-mining”. Anche se la potenza per istanza è molto inferiore rispetto a quella garantita da hardware dedicato, la possibilità di sfruttare molti utenti su siti diversi può sicuramente compensarla.
Coinhive è uno dei più diffusi servizi di browser-mining e offre ai proprietari di siti Web uno script JavaScript facilmente integrabile al loro interno. Anche se questo rappresenta un metodo legittimo se si è a conoscenza della sua esistenza, Palo Alto Networks ha recentemente diffuso informazioni sul fatto che alcuni siti nascondono ai visitatori la presenza di script Coinhive per il coin-mining.
Ciò che avviene è che le risorse di calcolo del computer del visitatore vengono impiegate per gestire operazioni di coin-mining che richiedono attività di elaborazione intensiva durante l’intera durata della visita al sito.
L’attività di per sé non causa problemi di lungo termine ai sistemi e termina non appena l’utente abbandona il sito. E anche se il sito offre lo stesso livello di prestazioni, l’utente sperimenterà un notevole peggioramento delle funzionalità del sistema.
I proprietari dei siti incassano una parte significativa della criptovaluta ricavata in modo illegittimo. Dato il crescente valore delle stesse, si tratta di un business molto lucrativo: Coinhive paga il 70% del valore recuperato ai proprietari dei siti, mentre Crypto-Loot, Nuovo player, offre servizi simili e paga l’88%.
L’uso di tali servizi di mining non è di per sé un’attività malevola, è il modo in cui vengono utilizzati che rende i siti malevoli. Nessuno dei siti da noi osservati avvisa l’utente in alcun modo dell’attività di mining in corso e tanto meno offre la possibilità di bloccarla.
Pare che questo trend stia dilagando. I nostri ricercatori hanno identificato 5 siti tra i 2mila più visitati (secondo dati Alexa) che integravano la tecnologia di mining. E anche se al momento le vittime di queste truffe sono americane, il numero di utenti europei e asiatici colpiti è in aumento.
Come proteggersi
Che cosa si può fare?
Ci sono modi per proteggersi. E’ fondamentale bloccare gli URL che ospitano i file Coinhive JavaScript, dato che questi script sono quelli che utilizzano le risorse del computer all’insaputa dell’utente. Diffusi browser plugin quali Adblock plus o Adguard possono essere d’aiuto. Combinare questi ultimi con un firewall di qualità garantisce che CPU ed elettricità non vengano sfruttati da script malevoli.
Se notate un notevole rallentamento nelle prestazioni del vostro sistema e sospettate che il computer sia stato colpito, abbandonare il sito o chiudere il browser terminerà, nella maggior parte dei casi, l’attività di coin-mining.
Inoltre, sarebbe opportuno adottare le buone pratiche di “cybersecurity hygiene” per evitare di divenire il minatore di qualcun altro e cioè evitare siti sconosciuti, non cliccare su link o scaricare allegati da mittenti email ignoti, aggiornare con le più recenti patch i prodotti di sicurezza e abilitare l’autenticazione multi-fattore.