Come i widget hackerati aiutano i criminali a minare le coin di Monero

Il mining nascosto di criptovalute si sta rivelando il nuovo pilastro del crimine informatico. I truffatori hackerano server, personal computer e dispositivi mobili e sfruttano la CPU o la GPU degli host infetti per generare monete virtuali senza la consapevolezza delle vittime.

Anche le botnet composte da numerose macchine zombi vengono ora utilizzate per perpetrare attività minerarie illegali su larga scala piuttosto che emettere spam o colpire servizi online con attacchi DDoS.

Questo vettore malizioso di guadagni ha avuto una spinta con l’emergere di script di mining nel browser, come ad esempio Coinhive .

I seguenti episodi che hanno avuto luogo di recente illustrano quanto seria questo problema stia diventando e come i widget di siti Web intrappolati dalle esplosioni giochino nelle mani degli attori delle minacce.

La modifica del widget di BrowseAloud interessa migliaia di siti

Un’enorme ondata di crittografia si è radicata l’11 febbraio 2018, sfruttando un popolare widget chiamato BrowseAloud. I malfattori sono stati in grado di iniettare un minatore di Monero surrettizia in oltre 4.200 risorse Internet, compresi siti di alto profilo come i siti Web del governo britannico, statunitense e australiano. In seguito a questo compromesso, lo script dannoso ha sfruttato la potenza di elaborazione delle macchine dei visitatori per estrarre la criptovaluta dietro le quinte.

Per la cronaca, BrowseAloud è uno strumento di Texthelp Ltd. progettato per migliorare l’accessibilità dei siti Web per un pubblico più ampio tramite le funzionalità vocali, di lettura e di traduzione. Aggiungendo questo widget ai siti, i webmaster assicurano che le persone con dislessia, disturbi della vista e scarsa conoscenza dell’inglese possano partecipare e utilizzare i loro servizi al meglio. Inoltre, il software aiuta i proprietari dei siti ad adempiere ai vari obblighi legali, quindi non c’è da meravigliarsi se è ampiamente utilizzato in tutto il mondo ed è diventato l’obiettivo degli hacker.

Secondo le scoperte degli analisti della sicurezza , i criminali in qualche modo sono riusciti a compromettere il componente JavaScript dell’utilità BrowseAloud e quindi hanno incorporato un codice minatore in-browser di Coinhive in numerosi siti Web che utilizzavano questo widget. Tra le vittime degne di nota figurano uscourts.gov, legislation.qld.gov.au, manchester.gov.uk, gmc-uk.gov e nhsinform.scot. Il numero totale di siti che ospitano lo script non valido ha raggiunto 4.275.

A proposito, anche il sito ufficiale del fornitore di Texthelp ha avuto il minatore in esecuzione. Quando il compromesso è stato svelato, la società ha temporaneamente disattivato il widget per evitare ulteriori danni ai clienti. A partire dal 15 febbraio, la violazione è stata segnalata come indirizzata e il servizio era attivo e funzionante come al solito.

Lo script di cryptojacking è stato configurato per consumare la CPU dei computer in visita al 40%, probabilmente per non far alzare molte bandiere rosse. L’indirizzo del portafogli Coinhive degli hacker è noto, ma al contrario di Bitcoin, il servizio non consente di vedere quanto Monero tiene in portafoglio. Pertanto, la quantità di criptovaluta estratta dal gruppo dietro la modifica di BrowseAloud rimane un mistero.

Widget LiveHelpNow sfruttato per il mining in-browser

Un’altra campagna di cryptojacking che ha coinvolto un widget del sito è iniziata il giorno del Ringraziamento lo scorso anno. In cerca di guadagni facili, gli attori della minaccia hanno iniettato il minatore Coinhive in uno dei moduli JavaScript di LiveHelpNow, un popolare widget di live chat. Questo widget è ampiamente utilizzato da varie risorse di e-commerce, inclusi negozi al dettaglio come Everlast e Crucial.

Le stelle allineate per gli autori, in particolare a causa del prossimo Black Friday e Cyber ​​Monday, quando numerosi utenti visitano i negozi online alla ricerca di migliori acquisti e altre offerte. Inoltre, non è probabile che gli amministratori seguiranno da vicino i loro siti per attività dannose di questo tipo durante la festività.

Lo script Coinhive nascosto in una copia trojanizzata del widget LiveHelpNow farà sì che l’utilizzo della CPU dei computer in visita raggiunga il picco e rimanga al 100% durante la sessione Internet. È interessante notare che il minatore era configurato per funzionare a caso, cioè non tutti gli utenti che si recavano sui siti Web compromessi si univano immediatamente alla corsa all’attività di copertura segreta.

In alcuni casi, era necessario un aggiornamento della pagina per avviare lo script canaglia. La ragione di questo approccio selettivo è, probabilmente, non per attirare troppa attenzione sull’onda in corso di crittografia.

Secondo il motore di ricerca del codice sorgente PublicWWW, lo script tossico “lhnhelpouttab-current.min.js” era in esecuzione su oltre 1.400 siti Web quando questa campagna ha preso piede. Ci sono pochi dettagli disponibili sulla fonte della violazione. Questo vuoto di prove ha generato speculazioni sul fatto che l’hack sia un lavoro interno svolto da uno dei dipendenti di LiveHelpNow. In un modo o nell’altro, è stato un compromesso ben orchestrato che deve aver portato i truffatori una discreta quantità di Monero.

Come mettersi dalla parte della sicurezza

Questa è una domanda non banale. Cryptojacking è surrettizia per natura, quindi l’unico modo per gli utenti finali di individuare questo tipo di attacco è monitorare l’utilizzo della CPU – se è costantemente alle stelle, è una bandiera rossa. Per quanto riguarda le difese, ecco alcuni suggerimenti che funzionano in modo proattivo:

• Installa un’estensione del browser che blocca automaticamente tutti i minatori JavaScript conosciuti. Alcuni componenti aggiuntivi famosi che valgono il loro sale includono Minoblock e No Coin .
• La maggior parte degli adblocker può bloccare i minatori del browser. Ma gli hacker della mente usano tutti i modi possibili per aggirare gli adblocker .
• Utilizzare una suite di sicurezza Internet affidabile con una funzione anti-cryptojacking a bordo.
• Si consiglia di utilizzare un servizio VPN affidabile quando ci si connette a reti sconosciute in quanto i criminali dei minatori spesso vanno insieme a keylogger e altri malware.
• Mantieni aggiornato il tuo sistema operativo per assicurarti che le vulnerabilità note vengano corrette e che i cyber-crimin non possano sfruttarle per iniettare un minatore in modo impercettibile.

I webmaster dovrebbero prendere in considerazione l’adozione della seguente combinazione di tecniche per assicurarsi che i loro siti non servano script di crittografia oltre la loro consapevolezza:

• SRI (Subresource Integrity) è un meccanismo di sicurezza che verifica che il contenuto caricato sui siti non sia stato modificato da terzi. Ecco come funziona. Il proprietario di un sito Web specifica un hash per un particolare script. Se questo hash e quello fornito dalla Content Delivery Network corrispondente non corrispondono, la funzione SRI rifiuta automaticamente lo script canaglia.
• CSP (Content Security Policy) è uno standard di sicurezza che rende obbligatorio per tutti gli script di un sito Web avere un hash SRI assegnato a loro. La fusione di SRI e CSP impedisce l’esecuzione di widget compromessi su un sito Web e quindi interrompe il cripto-mining non autorizzato nelle sue tracce.

Note di fondo

Non c’è nulla di illegale nel cripto-mining in quanto tale. Diventa un crimine, però, quando qualcuno usa i computer di altre persone per estrarre monete digitali senza la loro conoscenza e il loro consenso.

Il mining in-browser è un buon modo per i proprietari di siti Web di monetizzare il proprio traffico, ma è anche un richiamo per i criminali.

Come hanno dimostrato gli incidenti di BrowseAloud e LiveHelpNow, i widget dei siti sono frutti a basso impatto che possono essere sfruttati per il cryptojacking su vasta scala.