Cryptojacking, cos’è e come funziona

Cryptojacking, cos’è e come funziona

Il cryptojacking è l’uso non autorizzato del computer di qualcun altro per estrarre criptovaluta. Gli hacker lo fanno, facendo cliccare la vittima su un link dannoso in una e-mail che carica il codice di criptovaluta sul computer, o infettando un sito web o un annuncio online con codice JavaScript che viene eseguito automaticamente una volta caricato nel browser della vittima.

In entrambi i casi, il codice di cryptomining funziona in background mentre le vittime ignare usano normalmente i loro computer. L’unico segno che potrebbero notare è una prestazione più lenta o un ritardo nell’esecuzione.

Come funziona il cryptojacking

Gli hacker hanno due modi principali per far sì che il computer di una vittima estragga segretamente criptovalute. Uno è quello di ingannare le vittime a caricare il codice di cryptomining sui loro computer. Questo viene fatto attraverso tattiche simili al phishing: le vittime ricevono un’email dall’aspetto legittimo che le incoraggia a cliccare su un link. Il link esegue il codice che posiziona lo script di cryptomining sul computer. Lo script viene poi eseguito in background mentre la vittima lavora.

L’altro metodo è quello di iniettare uno script su un sito web o un annuncio che viene consegnato a più siti web. Una volta che le vittime visitano il sito web o l’annuncio infetto appare nei loro browser, lo script viene eseguito automaticamente. Nessun codice viene memorizzato sui computer delle vittime. Qualunque sia il metodo utilizzato, il codice esegue complessi problemi matematici sui computer delle vittime e invia i risultati a un server che l’hacker controlla.

Gli hacker spesso usano entrambi i metodi per massimizzare il loro ritorno. Gli attacchi utilizzano vecchi trucchi di malware per fornire un software più affidabile e persistente ai computer delle vittime come ripiego. Ad esempio, su 100 dispositivi che estraggono criptovalute per un hacker, il 10% potrebbe generare reddito dal codice sulle macchine delle vittime, mentre il 90% lo fa attraverso i loro browser web.

Alcuni script di cryptomining hanno capacità di worming che permettono loro di infettare altri dispositivi e server su una rete. Questo li rende anche più difficili da trovare e rimuovere; mantenere la persistenza su una rete è nel migliore interesse finanziario del cryptojacker.

Per aumentare la loro capacità di diffondersi in una rete, il codice di cryptomining potrebbe includere più versioni per tenere conto delle diverse architetture sulla rete. Inoltre, gli script potrebbero anche controllare se il dispositivo è già stato infettato da un malware criptomining concorrente. Se viene rilevato un altro cryptominer, lo script lo disabilita. Un cryptominer potrebbe anche avere un meccanismo di prevenzione dell’uccisione che viene eseguito ogni pochi minuti.

Infine, ricordiamo come a differenza di molti altri tipi di malware, gli script di cryptojacking non danneggiano i computer o i dati delle vittime. Si limitano invece a rubare le risorse di elaborazione della CPU. Per i singoli utenti, le prestazioni del computer più lente potrebbero essere solo un fastidio. Le organizzazioni con molti sistemi cryptojacked possono incorrere in costi reali in termini di help desk e tempo IT speso per rintracciare i problemi di prestazioni e sostituire componenti o sistemi nella speranza di risolvere il problema.

Share this post

Post Comment