Drive-by mining anche con browser chiuso

Da qualche mese sono aumentate le segnalazioni sulla presenza di miner nascosti nelle pagine web di molti siti. Il “servizio” in questione, fornito da Coinhive, permette di sfruttare le CPU e GPU per generare la criptovaluta Monero. Malwarebytes ha ora scoperto un altro trucco usato all’insaputa degli utenti.

A differenza dei malware, spesso installati mediante una tecnica nota come drive-by download, i miner non sono persistenti, ma entrano in azione solo quando viene aperta la pagina web contenente il codice JavaScript. Se il browser viene chiuso, l’attività di mining si interrompe o almeno così dovrebbe essere. Gli esperti di Malwarebytes hanno invece scoperto una tecnica di drive-by mining che consente di generare la criptovaluta anche dopo la chiusura del browser, quindi la percentuale di utilizzo della CPU rimane elevata.

Ciò accade perché è ancora aperta una finestra del browser, nascosta sotto la barra di navigazione di Windows. L’utente può individuare il “pop-under” ridimensionando la taskbar o applicando l’effetto di trasparenza, come si può vedere nella seguente immagine.

Il miner di Coinhive può usare anche WebAssembly e quindi sfruttare meglio l’hardware del computer direttamente dal browser. Per interrompere la sua attività da “sanguisuga” è necessario chiudere la finestra nascosta cliccando sul pulsante X, ma per avere la certezza assoluta è meglio interrompere l’esecuzione dei processi del browser (ad esempio chrome.exe) nel Task Manager.