“Il settore della sicurezza IT aveva previsto una crescita del numero di attacchi progettati per installare malware per il mining di cryptovalute, considerato che il business model basato sui ransomware sta iniziando a raggiungere i propri limiti in termini di innovazione. L’attacco riportato prevede un approccio conosciuto come web mining, che non comporta l’installazione di alcun codice nocivo sul dispositivo della vittima, mentre le attività di mining vengono condotte attraverso un codice speciale situato in una pagina web infetta. Secondo i nostri dati, l’infezione ha avuto luogo l’11 febbraio, tra le ore 11:20 GMT/UTC e le 16:10 GMT/UTC. Durante questo arco temporale, i nostri sistemi hanno registrato tentativi di caricare la versione infettata dello script di plug-in su almeno 450 siti.
“Nel 2017, le soluzioni Kaspersky Lab hanno bloccato 170 milioni di attacchi di web mining, che hanno preso di mira 7,3 milioni di utenti. Il web miner più usato è stato CoinHive, che è stato impiegato anche per l’attacco riportato. Il malware è stato iniettato nei siti offrendo una soluzione plug-in ampiamente utilizzata per leggere ad alta voce le pagine web. Solo pochi giorni fa, è stato scoperto un episodio simile che riguarda CoinHive e ha coinvolgo YouTube, con web miner installati nelle pubblicità contestuali. Il pericolo rappresentato dal mining di cryptovalute non riguarda la perdita di dati o denaro ma l’impatto sulla performance del sistema e sul consumo energetico. Il mining ha infatti un impatto significativo sulle risorse del sistema. Inoltre, venire colpite da un simile attacco potrebbe comportare per le aziende importanti conseguenze reputazionali.
“Tuttavia, va sottolineato che non tutte le attività di web mining sono illegali. In alcuni casi, vengono utilizzate legittimamente per la monetizzazione dei siti web: gli utenti ricevono i contenuti dei siti in cambio dell’accesso alle risorse del proprio computer, utilizzate per il mining”.
I prodotti Kaspersky Lab rilevano il malware di mining CoinHive e il plugin Browsealoud infettato.
