Cryptojacking, miner nascosto in siti governativi

Come previsto dal report di Malwarebytes, il numero di attacchi cryptojacking è in costante aumento. Nel fine settimana è stato scoperto il famigerato miner di Coinhive in oltre 4.000 siti, molti dei quali appartengono ad enti governativi, principalmente nel Regno Unito e negli Stati Uniti. Lo script sfrutta la CPU del computer per generare la moneta digitale Monero.

L’obiettivo dei cybercriminali è sempre lo stesso, ovvero ottenere profitti dal mining della criptovaluta all’insaputa degli utenti che visitano i siti web compromessi. Il metodo più popolare prevede l’uso di un codice JavaScript nascosto nelle pagine web, sfruttando la tecnica denominata mining browser-based. Lo script è stato scoperto inizialmente nel sito di Information Commissioner’s Office, l’autorità inglese per la protezione dei dati personali.

Dopo un’approfondita ricerca, l’esperto di sicurezza Scott Helme ha individuato lo stesso codice in altri siti governativi britannici e statunitensi. Al momento il numero totale di siti è 4.275 (qui l’elenco completo). Tutti i siti in questione sono stati compromessi attraverso il plugin BrowseAloud di Texthelp usato per offrire la funzionalità text-to-speech. Il suo codice è stato modificato con l’aggiunta dello script di Coinhive. Martin McKay, CTO and Data Security Officer, ha confermato l’attacco e comunicato l’avvio delle indagini per identificare gli autori. Nel frattempo, il servizio rimarrà offline fino a martedì.

Per bloccare la generazione dei Monero è sufficiente chiudere la scheda del browser oppure installare un antivirus aggiornato. Scott Helme suggerisce ai gestori di proteggere i siti con la tecnica SRI (Subresource Integrity) che applica un hash ad ogni script. Se lo script caricato dall’esterno è una versione modificata di quella originale, allora avrà un hash differente e verrà bloccato.