Il cryptojacking è un nuovo Eldorado per i criminal hacker: si tratta, infatti, di una particolare tecnica malevola che consente loro di minare criptovalute sfruttando la potenza di calcolo dei computer o dei dispositivi mobile di ignari utenti.
Versione dannosa del cryptomining, il cryptojacking rappresenta una minaccia che si nasconde in un computer o dispositivo mobile e utilizza le risorse della macchina, ovviamente senza autorizzazione, per “generare” (in gergo tecnico si usa il termine minare, dall’inglese mining) tipi di denaro virtuale noti come criptovalute.
Come per la maggior parte degli attacchi informatici, anche nel caso del cryptojacking il movente è ovviamente il profitto: a differenza dei “classici” malware, però, questa tecnica di attacco è stata pensata per rimanere completamente nascosta senza danneggiare la macchina compromessa.
Nonostante il crollo negli ultimi tempi del valore delle criptomonete, siamo di fronte ad una minaccia in via di espansione in grado di infiltrarsi nei browser Web e di compromettere ogni tipo di dispositivo, dai PC desktop ai laptop fino agli smartphone e perfino i server di rete. La conseguenza diretta dell’aumento del cryptojacking è rappresentata dall’aumento di ben 200 volte del traffico Internet mondiale nelle aziende collegato al mining di criptovalute: numeri impressionanti, resi pubblici dagli analisti di Cisco Umbrella durante i lavori della Conferenza RSA 2019.
Indice degli argomenti
Come nasce il cryptojacking
Prima di scoprire come funziona tecnicamente il cryptojacking è opportuno comprendere cosa sono e come vengono generate le criptovalute.
Con il termine criptovalute (o criptomonete) si indicano tutte le tipologie di denaro digitale pensate come alternativa al denaro tradizionale. La più famosa delle criptovalute, e anche una delle prime ad essere generata nel 2009, è il Bitcoin: il suo potenziale di crescita è enorme se si pensa che nel 2017 la criptovaluta ha raggiunto l’incredibile quotazione di quasi 20.000 dollari per un singolo Bitcoin.
Bitcoin, Bitcoin Cash, Monero, Ethereum e tutte le altre monete virtuali esistono sottoforma di unità monetaria decentralizzata e quindi al di fuori del mercato valutario. Le criptovalute possono essere trasferite liberamente tra i vari possessori e, come per le monete tradizionali, possono essere utilizzate per acquistare e vendere prodotti (ormai anche su grandi e-store) o per fare investimenti.
Il funzionamento del denaro digitale, così come il termine criptovaluta lascia immaginare, si basa sul principio della crittografia.
Per generarle, occorre completare un processo cosiddetto di mining che trasforma le risorse di calcolo di un computer in criptovalute. Di fatto, chiunque possegga un computer sufficientemente potente ha la possibilità di generare criptovalute. In realtà, all’aumentare delle criptovalute disponibili sul mercato, è diventato sempre più difficile generarne di nuove e il processo di mining ha iniziato a richiedere potenze di calcolo sempre maggiori.
Per questo motivo, la maggior parte dei “miner” utilizza potenti computer (anche se sarebbe più corretto parlare di macchine e sistemi per il mining) appositamente assemblati con potenti processori e schede video di nuova generazione dotate di GPU ottimizzate proprio per generare criptovalute.
Chiaramente, fintanto che le criptovalute avevano un’alta quotazione, il processo di mining ha offerto notevoli profitti e giustificato l’utilizzo massivo delle risorse di calcolo del proprio computer. Quando il mercato è entrato in crisi, la creazione “casalinga” delle criptovalute non è stata più conveniente. Questo ha spinto alcuni utenti a pensare ad un’alternativa che consentisse loro di continuare a generare criptovalute sfruttando però la potenza di calcolo degli altri, avviando di fatto un processo di mining distribuito e dando vita al fenomeno del cryptojacking per generare criptovalute in segreto a spese della vittima.
Come funziona il cryptojacking
I criminal hacker possono portare a termine un attacco di tipo cryptojacking utilizzando diversi metodi. Uno dei più diffusi è molto simile a quello utilizzato per diffondere i classici malware. In pratica, mediante massicce campagne di phishing, la potenziale vittima viene persuasa a cliccare su un link dannoso presente nel testo di un’e-mail malevola e il codice di cryptomining viene installato e attivato nel suo computer. Subito dopo aver compromesso il sistema della vittima, il cryptojacker inizia a lavorare di nascosto per generare criptovalute.
Un altro metodo di attacco di tipo cryptojacking è quello denominato “drive-by cryptomining”. Così come avviene nelle campagne di malvertising, in cui i criminal hacker nascondono exploit dentro banner e annunci pubblicitari dannosi creati ad hoc e pubblicati non solo su siti truffa ma anche su portali del tutto legittimi, anche il metodo “drive-by cryptomining” prevede l’integrazione di un codice JavaScript malevolo nascosto in una pagina Web. Chiunque dovesse visitare la pagina verrà immediatamente infettato e subito dopo inizierà la generazione di criptovalute sulle macchine che visitano la pagina.
C’è da dire che i primi casi di drive-by cryptomining registrati su Internet erano tutto sommato legittimi. Alcuni gestori di siti leciti, infatti, pensarono bene di aumentare i propri introiti monetizzando il traffico verso il loro sito chiedendo esplicitamente ai visitatori l’autorizzazione per generare criptovalute durante la loro permanenza sulle varie pagine. Si trattava di una sorta di “equo compenso” per la pubblicazione di contenuti gratuiti.
Questa possibilità di sfruttare la potenza di calcolo altrui alla luce del sole venne sfruttata soprattutto dai siti di gaming online sui quali tipicamente i visitatori rimanevano a lungo. Nel momento in cui veniva chiusa la finestra del browser, il codice JavaScript per la generazione di monete virtuali veniva interrotto, rilasciando le risorse del computer.
Attualmente, purtroppo, la maggior parte dei siti che adottano la tecnica del drive-by cryptomining non sono così “trasparenti” con gli utenti e la tecnica viene abusata dai criminal hacker che la usano non soltanto sui loro siti underground, ma invadono anche numerosi siti legittimi. Il codice JavaScript di cryptomining funziona di nascosto e continua a farlo anche quando l’utente lascia il sito o chiude la finestra del browser, rimanendo tipicamente in esecuzione all’interno di una finestra pop-under dimensionata per nascondersi sotto la barra delle applicazioni.
A rischio anche i dispositivi Android
Senza dire che il mediante la tecnica del drive-by cryptomining, il cryptojacking può infettare anche i dispositivi mobili con sistema operativo Android, con una metodologia di attacco del tutto analoga a quanto avviene sui PC desktop. In alcuni casi, la navigazione mobile dell’utente viene reindirizzata verso siti infetti che contengono un pop-under “invisibile” e difficile da chiudere.
La maggior parte del cryptojacking su dispositivi Android avviene invece mediante l’utilizzo di app malevoli che nascondono un trojan. In molti casi, lo sfruttamento delle risorse dello smartphone è talmente intenso da causare un sovraccarico del processore con conseguente surriscaldamento e danneggiamento sia della batteria sia dello smartphone stesso.
La convenienza, per i criminal hacker, a colpire gli smartphone con attacchi di tipo cryptojacking sta tutta nel gran numero di dispositivi teoricamente vulnerabili che, se “uniti” tra loro, forniscono una potenza di calcolo impressionante. Non a caso, i ricercatori di Malwarebytes hanno registrato nel solo primo trimestre del 2018 un aumento del 4000% dei malware di cryptojacking per Android.
Una seria minaccia per le aziende
Sebbene, come visto, il cryptojacking non miri a danneggiare i dispositivi compromessi, è pur vero che lo sfruttamento delle risorse hardware e della potenza di calcolo senza autorizzazione ha comunque un costo notevole.
Se per il singolo utente il rallentamento del sistema rappresenta più che altro un inconveniente che rallenta le operazioni quotidiane e che, nel peggiore dei casi, si risolve con un ripristino di configurazione o con la formattazione dell’hard disk, ben altre e più serie possono essere le conseguenze del cryptojacking in ambito aziendale e soprattutto per le piccole e medie imprese.
Gli attacchi di tipo cryptojacking e di drive-by cryptomining, infatti, comportano innanzitutto elevati costi legati al consumo di corrente elettrica necessaria per fare andare al massimo della potenza le CPU dei computer aziendali. Bisogna poi mettere in conto gli eventuali interventi di assistenza necessari per ripristinare il corretto funzionamento dei sistemi compromessi.
Infine, c’è un costo indiretto dovuto all’impossibilità di accedere velocemente alle infrastrutture e alle risorse aziendali, soprattutto in ambito di smart working, in quanto i PC e i dispositivi mobile sono “impegnati” a generare criptovalute per conto di altri.
Senza dire che la presenza di un cryptomining sulle macchine aziendali potrebbe significare che l’intera infrastruttura IT dell’azienda presenta delle vulnerabilità sfruttabili dai criminal hacker anche per altri scopi ben più dannosi.
I consigli per difendersi dal cryptojacking
Seppur meno pericoloso dei classici malware, il cryptojacking è dunque una minaccia da non sottovalutare.
Innanzitutto, come abbiamo visto, il più delle volte i codici di cryptojacking vengono distribuiti mediante campagne di phishing. È dunque possibile prevenire un eventuale attacco controllando sempre il mittente dell’email e gli eventuali link presenti nel corpo del messaggio prima di cliccarci sopra.
Altrettanto facile scoprire dove punta realmente una URL indicata nei messaggi di phishing passandoci sopra con il mouse: in basso, nella barra delle attività del client di posta elettronica comparirà l’indirizzo reale a cui punta il link.
Ad infezione avvenuta, purtroppo, potrebbe essere difficile, se non impossibile, rilevare manualmente l’intrusione a causa delle tecniche di offuscamento utilizzate: spesso, infatti, il cryptomining genera processi che fingono di essere legittimi in modo da confondere l’utente ed impedire che li termini.
Senza dire che l’eccessivo utilizzo delle risorse di sistema oltre a ridurre la normale operatività della macchina rende di fatto impossibile anche intervenire per avviare un eventuale operazione di ripristino di sistema.
Il primo consiglio per difendersi è quindi quello di installare una valida soluzione di sicurezza come Malwarebytes che, oltre ai classici strumenti antimalware, integri anche un modulo per l’individuazione e il blocco di codici JavaScript di cryptojacking.
Un’altra soluzione, meno efficace consiste nel bloccare l’esecuzione di codice JavaScript nel browser Web, anche se così facendo c’è il rischio di bloccare anche funzioni utili presenti in tanti siti legittimi. In alternativa, è possibile utilizzare apposite estensioni per il browser specializzate proprio nel blocco dei cryptojacking: tra le più efficienti, segnaliamo MinerBlock e No Coin che bloccano le attività di mining su Chrome, Firefox e Opera. Oppure ancora un adblocker come uBlock Origin capace di bloccare i banner pubblicitari presenti nelle pagine Web.
Infine, per sapere se il nostro browser è vulnerabile ad attacchi di tipo cryptojacking, possiamo effettuare un veloce test collegandoci al sito Cryptojacking Test e cliccando sul pulsante Test. Il servizio, in realtà, serve a veicolare il download del browser Opera, ma tra uno spot pubblicitario e l’altro può tornare utile per effettuare un veloce controllo di sicurezza.
