Invasione dei miner di cripto-valuta. Ora anche per Android.

I più assidui frequentatori di siti per lo streaming online avranno notato strani rallentamenti del sistema operativo, oppure ancora l’aumento improvviso della temperatura del PC e del lavoro della ventola.. E’ in corso una vera e propria epidemia di miner: più si amplia la rete di scambio di moneta virtuale più operazioni si devono svolgere, maggiore è la necessità di potere di calcolo (vedi qui per saperne di più).
I miners in Javascript
L’ultima “moda” è quella di distribuire miner in-browser in JavaScript , una tendenza iniziata ormai a Settembre e che ora sta diventando seriamente preoccupante avendo raggiunto anche app ufficiali nel Google Play Store, ma anche distribuzioni di massa attraverso botnet di siti WordPress hackerati. Tra questi Coinhive continua ad essere il più pericoloso, perché il più scelto dai cyber-truffatori.
Perchè Coinhive?
Coinhive è persistente e diffusissimo perché è il tool più scelto dai cyber-criminali per il mining di criptovaluta. Nei fatti è una libreria JavaScript che i proprietari di siti web possono caricare nel proprio sito. Quando un utente accede al sito, il codice di Coinhive si esegue e estrae Monero (una criptovaluta) in favore del proprietario del sito, ma a detrimento delle risorse della CPU dell’utente. Guadagno dell’attaccante e “lavoro” della CPU della vittima. In origine sarebbe stato, semplicemente, un sistema legale e alternativo all’advertising per garantire guadagni a chi possiede un sito. Nei fatti è ormai uno strumento in mano ai truffatori. Finisce così diffuso in maniere illegali: ad esempio all’interno di SafeBrowse, un’estensione molto popolare di Chrome. Subito dopo l’installazione dell’estensione, l’uso della CPU balza alle stelle.
L’uso della CPU balza alle stelle dopo l’installazione di SafeBrowse. Fonte: Bleeping Computer
Oppure ancora sono sempre più numerosi i siti finiti sotto il controllo di cyber-criminali che nascondono nel source code il downloader del miner Coinhive: la semplice navigazione sul sito attiva in download sul dispositivo della vittima. Siti WordPress e Magento stanno subendo una vera e propria colonizzazione.
Coinhive trovato in app Android
Il problema per Coinhive su pc è che la gran parte degli utenti dispone di un adblock o di un antimalware capace di bloccare l’esecuzione dello script. Non è però così per gli smartphone, alla cui sicurezza la maggior parte degli utenti presta molto meno attenzione. Solo ieri sono state rimosse dal Play Store ufficiale due app “Recitiamo Santo Rosario Free” e “SafetyNet Wireless App”: entrambe scaricavano una copia del miner Coinhive entro un browser WebView nascosto. Quando cioè l’utente tiene aperte le app, il miner lavora consumando risorse dello smartphone e accumulando Monero per gli attaccanti, tutto senza chiedere nessuna permissione specifica. C’è da aspettarsi nei prossimi giorni una vera e propria invasione: non solo app dannose, ma anche app legittime compromesse.
Una botnet di siti WordPress armati di CoinhiveOltre a queste app dannose, Sucuri ha registrato una ingente crescita di siti web alterati che distribuiscono vari tipi di miners, sopratutto varianti di Coinhive. Il rischio più grande riguarda un gruppo di circa 500 siti WordPress già predisposti per la diffusione dei miner: in questi caso lo script reindirizza il visitatore-vittima verso la più classica pagina di distribuzione malware, un “font pack missing“. Si fa credere cioè alla vittima che sia necessario scaricare un aggiornamento dei font per poter visualizzare una certa pagina, ma ciò che si scarica è semplicemente una variante pesantemente offuscata di CoinHive.
Fonte: Sucuri. Sito web compromesso con miner Coinhive.
Altre campagne…
Coinhive e altri miners vengono distribuiti anche tramite altre campagne: sempre nel Play Store è risultata infetta l’app “Car Wallpaper HD: mercedes, ferrari,bmw,audi”, che nasconde il miner nelle librerie. Microsoft fa invece sapere che le librerie del coin miner sono state trovate nel server hxxp://3104709642, corrispondente all’IP decimale 185[.]14[.]28[.]10.
Non solo: sempre Microsoft avvisa che altri miner sono stati ritrovati su siti web compromessi che si fingono legittimi usando il nome “googleanalytics”