21/12/2017 di Redazione

Guadagni illeciti con i miner di criptovaluta, un fenomeno in ascesa

Eset e Kaspersky Lab evidenziano la popolarità delle infezioni malware che colonizzano le risorse fisiche di un Pc per fare attività di mining. Per l'utente si traducono in un fastidio, ma anche in inconsapevole complicità con i cybercriminali.

immagine.jpg

La popolarità dei Bitcoin è un'occasione ghiotta per i cybercriminali, troppo ghiotta per poter essere ignorata. Non stupisce, allora, che in queste settimane di ascesa del valore e della popolarità delle criptovaluta stiano emergendo nuove minacce informatiche che fanno leva proprio su questo fenomeno. La prima, segnalata da Eset, è JS/CoinMiner: un trojan che è statp creato per generare valuta digitale sfruttando le risorse del sistema infettato. In Italia questo software malevolo o scorso dicembre ha registrato un picco, rappresentando il 38% delle infezioni rilevate dai sistemi di Eset nella giornata.

Nell'ultima settimana la percentuale è poi scesa, ma non troppo, fino a rappresentare il 24% delle infezioni. Oltre allo Stivale, il trojan ha colpito in modo intenso altri tre Paesi europei, ovvero Slovacchia (dove è stato rilevato addirittura nel 48% delle infezioni dell'ultima settimana), Grecia (36%) e Spagna (36%). JS/CoinMiner è un codice Java Script che si diffonde attraverso i contenuti Java, attraverso due dei metodi più classici: attraverso banner confezionati con il codice malevolo e presenti su siti apparentemente affidabili, oppure all’interno di email di phishing contenenti link verso pagine che ospitano questo script. Una volta eseguito nel sistema, CoinMiner installa un trojan creato per generare valuta digitale (cioè per fare mining) sfruttando risorse quali il processore e la scheda video del Pc infettato.

Nella sua “classicità”, l'attacco è subdolo perché non genera segni di infezione caratteristici, quali il rallentamento del computer o l'attivazione particolarmente intensa della ventola. E per questo motivo non è facile accorgersi di essere stati colpiti.

Fra chi segnala i miner di criptovaluta come uno dei fenomeni protagonisti di una nuova ascesa in questo 2017 in dirittura d'arrivo c'è Kaspersky Lab. “Sebbene non venga considerato dannoso, il software di mining riduce le performance di sistema del dispositivo”, ha sottolineato Morten Lehn, general manager Italy di Kaspersky Lab. “Inoltre, aumenta il consumo di elettricità e, anche se non rappresenta la peggiore delle conseguenze, questo rimane comunque un effetto spiacevole. Anche se ad alcune persone potrebbe andar bene che uno sconosciuto diventi più ricco a spese proprie, noi consigliamo agli utenti di opporsi a questi tentativi, perché anche se non vengono condotti con software nocivi standard rappresentano comunque un'attività fraudolenta”.

La società di sicurezza informatica ha studiato il comportamento dei criminali che fanno leva sulla popolarità delle criptovalute: fra le tecniche più utilizzate spiccano le campagne di social engineering e l’exploiting di software compromessi, in entrambi i casi con l'obiettivo di colpire il maggior numero possibile di vittime. Uno schema di frode ricorrente è poi quello che prevede la creazione di uno sito Web da cui è possibile scaricare gratuitamente versioni pirata di noti software; per risultare credibile, il sito ha spesso un nome simile a quello di siti conosciuti e affidabili. Una volta eseguito il download del prodotto di suo interesse, l'utente riceve un archivio che contiene anche un programma di mining, il quale viene installato automaticamente insieme al software scaricato.

L'archivio di installazione, spiega Kaspersky, include file di testo contenenti informazioni di inizializzazione, ovvero gli indirizzi di wallet e il pool di mining. Quest'ultimo è un server che unisce diversi partecipanti e distribuisce l'attività di “raccolta” tra i computer coinvolti: in questo modo si velocizzare il mining, che è notoriamente in termini di risorse e di tempo, mentre ciascun Pc riceve una quota di criptovaluta. Una volta installati i miner iniziano a lavorare in segreto, generando Bitcoin per i criminali.

Kaspersky ha anche individuato l'origine di questa tipologia di attacco: in tutti i casi rilevati è stato utilizzato il software del progetto NiceHash, recentemente colpito da una violazione hacker e da un conseguente furto di criptovaluta per un valore di milioni di dollari. Alcune delle vittime erano collegate a un pool di mining con lo stesso nome. I ricercatori di Kaspersky hanno anche notato come alcuni miner contenessero una funzione speciale, che permetteva di modificare da remoto il numero di wallet, il pool o il miner: con questa possibilità, i criminali potenzialmente sono in grado di cambiare la destinazione delle criptomonete raccolte, e quindi di gestire i propri guadagni distribuendo il flusso tra i wallet o sfruttare il computer della vittima per un altro pool di mining.

 

ARTICOLI CORRELATI