Introduzione al Cryptojacking
Gli hacker hanno infettato più di 3.500 siti web con script di crittominazione furtivi che dirottano silenziosamente i browser dei visitatori per generare Monero, una criptovaluta focalizzata sulla privacy, progettata per rendere le transazioni più difficili da tracciare. Questo malware non ruba password né blocca file; al contrario, trasforma silenziosamente i browser dei visitatori in motori di mining di Monero, sottraendo piccole quantità di potenza di elaborazione senza il consenso degli utenti.
Scoperta della Campagna
La campagna, ancora attiva al momento della scrittura, è stata scoperta per la prima volta dai ricercatori della società di cybersecurity c/side.
“Limitando l’uso della CPU e nascondendo il traffico nei flussi WebSocket, è riuscita a evitare i segni rivelatori del tradizionale cryptojacking,”
ha rivelato c/side venerdì.
Il Fenomeno del Cryptojacking
Il cryptojacking, talvolta scritto come una sola parola, è l’uso non autorizzato del dispositivo di qualcuno per minare criptovalute, tipicamente senza la conoscenza del proprietario. Questa tattica ha guadagnato attenzione mainstream alla fine del 2017 con l’ascesa di Coinhive, un servizio ora defunto che ha dominato brevemente la scena del cryptojacking prima di essere chiuso nel 2019.
Ritorno della Tattica
Nello stesso anno, i rapporti sulla sua prevalenza sono diventati contrastanti, con alcuni che affermavano a Decrypt che non era tornato a “livelli precedenti”, anche se alcuni laboratori di ricerca sulle minacce hanno confermato un aumento del 29% in quel periodo. Più di mezzo decennio dopo, la tattica sembra prepararsi a un ritorno silenzioso: riconfigurandosi da script rumorosi e che saturano la CPU a miner a basso profilo, progettati per la furtività e la persistenza.
Strategia di Mining Silenzioso
Piuttosto che esaurire i dispositivi, le campagne odierne si diffondono silenziosamente su migliaia di siti, seguendo un nuovo manuale che, come afferma c/side, mira a “rimanere bassi e minare lentamente”. Questo cambiamento di strategia non è casuale, secondo un ricercatore di sicurezza informatica a conoscenza della campagna, che ha parlato con Decrypt a condizione di anonimato.
Accesso a Lungo Termine
Il gruppo sembra riutilizzare vecchia infrastruttura per dare priorità all’accesso a lungo termine e a un reddito passivo.
“Questi gruppi molto probabilmente controllano già migliaia di siti WordPress e negozi di e-commerce compromessi da passate campagne Magecart,”
ha dichiarato il ricercatore a Decrypt. Le campagne Magecart sono attacchi in cui gli hacker iniettano codice malevolo nelle pagine di pagamento online per rubare informazioni di pagamento.
Operazioni Silenziose
“Piantare il miner era banale; hanno semplicemente aggiunto un altro script per caricare il JS offuscato, riutilizzando l’accesso esistente,”
ha spiegato il ricercatore. Ciò che spicca, ha aggiunto, è quanto silenziosamente operi la campagna, rendendo difficile la rilevazione con metodi più tradizionali.
Nuove Tecnologie Utilizzate
“Un modo in cui gli script di cryptojacking passati venivano rilevati era per il loro alto utilizzo della CPU,” ha affermato il ricercatore. “Questa nuova ondata evita ciò utilizzando miner WebAssembly limitati che rimangono sotto il radar, limitando l’uso della CPU e comunicando tramite WebSockets.” WebAssembly consente al codice di funzionare più velocemente all’interno di un browser, mentre i WebSockets mantengono una connessione costante a un server. Combinati, questi strumenti consentono a un miner di criptovaluta di operare senza attirare attenzione.
Obiettivi della Campagna
Il rischio non è “mirare direttamente agli utenti di criptovalute,” poiché lo script non prosciuga i portafogli, anche se tecnicamente potrebbero aggiungere un drainer di portafogli al payload, ha affermato il ricercatore anonimo a Decrypt.
“Il vero obiettivo sono i proprietari di server e applicazioni web,”
hanno aggiunto.
