Sempre più comunemente si finisce su certe pagine web che attivano cryptominer, ovvero un tool creato appositamente per sfruttare il dispositivo dell’ignaro visitatore al fine di generare un compendio monetario e spesso, vista l’impossibilità di tracciabilità, si tratta di criptomonete. Per i più esperti stiamo parlando di un malware vero e proprio di cui spesso la proprietà del sito web è anch’essa vittima. Ciò che avviene da parte di queste terze parti interessate al guadagno illegittimo è l’adescamento di un sito Web, il quale viene infettato ed utilizzato per creare questi profitti, al titolare vero e proprio comporta un grave danno d’immagine e la conseguente perdita di clienti: l’ultimo scoperto in ordine di tempo riguarda un’infezione che colpiva i chatbot di assistenza, manovra definita da alcuni definita molto astuta e lungimirante.
Ciò che succede realmente nella pratica è la ricerca di un vero e proprio nascondiglio per tenere attivo il mining anche dopo aver chiuso la pagina incriminata attraverso l’utilizzo di quello che i ricercatori in materia definiscono un pop-under. In soldoni si tratta di un vero e proprio collegamento che non finisce in primo piano come i tradizionali pop-up (i quali sarebbero troppo identificabili e verrebbero chiusi) ma si pensa che queste finestre vengano nascoste dietro a particolari elementi grafici, la cui individuazione è davvero difficile e che dunque passino inosservati ma continuino nel loro scopo.
Non basterà più premere sulla “X” per chiudere queste finestre, gli utenti più esperti (sempre che ne vengano a conoscenza) utilizzeranno il Task Manager per verificare se sono presenti anomalie e nell’eventualità fermarle. Alternativamente, la barra di stato delle applicazioni mostrerà l’icona del browser come se fosse ancora in uso nonostante fosse stata chiusa in precedenza. I test sono stati eseguiti su Google Chrome dall’esperto Jèrome Segura che consiglia CoinHive Blocker come metodo per affrontare l’eventualità di essere finiti in questa trappola ma chiarisce che il progressivo aumento innovativo di queste tecniche potrebbe rendere questo espediente non sicuro al 100%, una di queste innovazioni, ad esempio, può essere il non rilevare anomalie di carico eccessivo della CPU.
Malwarebytes, società che vanta una lunga esperienza nel settore, ha apertamente dichiarato guerra a questo sistema ed ha individuato in Ad Maven il network responsabile, guarda caso si tratta di un’impresa specializzata nello sviluppo dei pop-under. Tuttavia quest’ultima società si occupa solamente di aprire il collegamento ma non ne gestisce quello si può trovare all’interno.
Ciò che più preoccupa dall’utilizzo di questa infestazione è il consumo di energia globale, (pro-capite stiamo parlando di una spesa irrisoria) si parla infatti, come ha detto qualche tempo fa il Guardian, di 300KWh per ogni transazione BTC.
Controllare per bene i nostri dispositivi ed effettuare una pulizia periodica sono ottime pratiche per combattere questo tipo di piaga.