I sindacati criminali continuano a manifestare il loro alto interesse nelle attività di mining di criptovaluta sfruttando le ricorse computazionali dei sistemi da loro compromessi.
Gli esperti dell’azienda di sicurezza Malwarebytes hanno scoperto una nuova campagna di cryptomining che sfrutta una tecnica per la generazione fraudolenta di criptovalute mai osservata in precedenza.
La nuova tecnica non si basa sull’iniezione del codice JavaScript CoinHive per il mining direttamente nei siti web compromessi, invece utilizza un servizio “URL shortener” implementato da CoinHive . Normalmente i servizi URL shortener generano a fronte di un indirizzo web, una URL di lunghezza ridotta che una volta visitato redirige l’utente al sito originario.
La strategia degli hacker
Come detto anche CoinHive fornisce un simile servizio, tuttavia introduce un ritardo nella re-direzione dell’utente verso l’URL originale durante il quale utilizza le risorse del visitatore del sito per la generazione di criptovaluta.
Il tempo di re-indirizzamento è regolabile tramite le impostazioni di Coinhive, ciò significa che gli aggressori possono forzare il browser Web dei visitatori a lavorare per la generazione di criptovaluta per un periodo più lungo.
Malwarebytes ha scoperto che un gran numero di siti Web legittimi che sono stati compromessi per caricare URL brevi generati utilizzando il servizio CoinHive attraverso un iFrame HTML nascosto. Con questo trucco, gli hacker forzano i browser web degli ignari visitatori a partecipare al processo di mining.
“Abbiamo individuaro centinaia di nuovi domini, tutti siti Web legittimi in cui sono stati iniettati dei codici esadecimali. Una volta decodificato, il codice rivela un iframe invisibile (della dimensione di 1 × 1 pixel) con short URL associato “cnhv [.] Co/3h2b2”. Riteniamo che questa campagna sia legata ad una precedente scoperta dagli esperti dell’azienda Sucuri a fine maggio “, si legge nell’ analisi pubblicata da Malwarebytes.
Di seguito è riportato un esempio del framework nascosto nelle pagine dei siti compromessi.
“<i frame src =” https: // cnhv [.] co / 3h2b2 “width =” 1 “height =” 1 “align =” left “> </ i frame>”
“Il nome del dominio cnhv [.] Co viene utilizzato per ciò che Coinhive chiama shortlinks, essenzialmente un modo di monetizzare i collegamenti ipertestuali facendo in modo che i browser dei visitatori risolvano un certo numero di hash prima che raggiungano il loro sito di destinazione. Cliccando su tale link, vedrai una barra di avanzamento e in pochi secondi verrai reindirizzato al sito originario. I truffatori abusano di questa caratteristica caricando quei collegamenti come iframe.”
Come sottolineato, questo schema di mining è una novità nel panorama delle minacce perché non fa leva sull’iniezione del codice JavaScript di CoinHive nei siti Web compromessi.
Gli esperti di Malwarebytes hanno collegato quest’ultima campagna a quella monitorata dai ricercatori Sucuri a maggio.
Gli autori degli attacchi aggiungono un codice javascript offuscato nei siti Web compromessi, questo codice viene utilizzato per iniettare dinamicamente un iframe invisibile (1 × 1 pixel) nella pagina Web non appena viene caricato nel browser web.
La pagina Web avvia automaticamente l’attività di mining fino a quando il servizio URL shortner di Coinhive reindirizza l’utente all’URL originale.
“Nella Figura sopra abbiamo reso visibile l’iframe cambiando le sue dimensioni, per mostrare che anziché attendere alcuni secondi prima di essere reindirizzati, gli utenti rimarranno inconsapevolmente in per un tempo superiore stabilito dagli attaccanti” spiega Malwarebytes.
“Infatti, mentre l’impostazione predefinita di Coinhive è di 1024 hash, questa campagna richiede la risoluzione di 3.712.000 hash prima di caricare l’URL di destinazione”.
Gli esperti hanno anche scoperto che la stessa organizzazione criminale dietro l’ultima campagna ha compromesso molti altri siti inserendo link ipertestuali ad altri siti Web compromessi con l’intento di indurre le vittime a scaricare software miner di criptovaluta per sistemi desktop camuffati da aggiornamenti software legittimi.
Ulteriori informazioni, compresi gli indicatore di compromissione degli ultimi attacchi sono presenti nel blog post pubblicato da MalwareBytes.
