Torna alla home
Torna alla home
.....
Open menu
Home
 
Search
 
MY
Articoli Salvati
 
Life
Smart Money
The Food Makers
Valore Responsabile
 
That's Round
Cover Story
 
Economy
Education
Impact
Lifestyle
Startup
Tech
 
Agenda
Bandi
Live TV
 
Unstoppable Women
Bandi Istruzioni per l'uso
Imprenditori Sostenibili
Investimenti Digitali E Cripto
 
SIOS
Shopping
 
STARTUPITALIA
Advisory Board
Area Investor
Lavora con noi
Chi siamo
I nostri autori
desc
TECH

Cryptomining | Una nuova minaccia arriva dagli shortlink

 ⏱ Leggi in 2 min
  ⏱2 min read
TECH
Share article
Set prefered

Cryptomining | Una nuova minaccia arriva dagli shortlink

Share article
Set prefered

Gli esperti dell’azienda di sicurezza Malwarebytes hanno scoperto una nuova campagna di cryptomining che sfrutta una tecnica mai osservata in precedenza

Gli esperti dell’azienda di sicurezza Malwarebytes hanno scoperto una nuova campagna di cryptomining che sfrutta una tecnica mai osservata in precedenza

Cybersecurity
author avatar
Pierluigi Paganini
9 lug 2018

I sindacati criminali continuano a manifestare il loro alto interesse nelle attività di mining di criptovaluta sfruttando le ricorse computazionali dei sistemi da loro compromessi.

Gli esperti dell’azienda di sicurezza Malwarebytes hanno scoperto una nuova campagna di cryptomining che sfrutta una tecnica per la generazione fraudolenta di criptovalute mai osservata in precedenza.

La nuova tecnica non si basa sull’iniezione del codice JavaScript CoinHive per il mining direttamente nei siti web compromessi, invece utilizza un servizio “URL shortener” implementato da CoinHive . Normalmente i servizi URL shortener generano a fronte di un indirizzo web, una URL di lunghezza ridotta che una volta visitato redirige l’utente al sito originario.

La strategia degli hacker

Come detto anche CoinHive fornisce un simile servizio, tuttavia introduce un ritardo nella re-direzione dell’utente verso l’URL originale durante il quale utilizza le risorse del visitatore del sito per la generazione di criptovaluta.

Il tempo di re-indirizzamento è regolabile tramite le impostazioni di Coinhive, ciò significa che gli aggressori possono forzare il browser Web dei visitatori a lavorare per la generazione di criptovaluta per un periodo più lungo.

Malwarebytes ha scoperto che un gran numero di siti Web legittimi che sono stati compromessi per caricare URL brevi generati utilizzando il servizio CoinHive attraverso un iFrame HTML nascosto. Con questo trucco, gli hacker forzano i browser web degli ignari visitatori a partecipare al processo di mining.

 “Abbiamo individuaro centinaia di nuovi domini, tutti siti Web legittimi in cui sono stati iniettati dei codici esadecimali. Una volta decodificato, il codice rivela un iframe invisibile (della dimensione di 1 × 1 pixel) con short URL associato “cnhv [.] Co/3h2b2”. Riteniamo che questa campagna sia legata ad una precedente scoperta dagli esperti dell’azienda Sucuri a fine maggio “, si legge nell’ analisi pubblicata da Malwarebytes.

Di seguito è riportato un esempio del framework nascosto nelle pagine dei siti compromessi.

“<i frame src =” https: // cnhv [.] co / 3h2b2 “width =” 1 “height =” 1 “align =” left “> </ i frame>”

“Il nome del dominio cnhv [.] Co viene utilizzato per ciò che Coinhive chiama shortlinks, essenzialmente un modo di monetizzare i collegamenti ipertestuali facendo in modo che i browser dei visitatori risolvano un certo numero di hash prima che raggiungano il loro sito di destinazione. Cliccando su tale link, vedrai una barra di avanzamento e in pochi secondi verrai reindirizzato al sito originario. I truffatori abusano di questa caratteristica caricando quei collegamenti come iframe.”

Come sottolineato, questo schema di mining è una novità nel panorama delle minacce perché non fa leva sull’iniezione del codice JavaScript di CoinHive nei siti Web compromessi.

 

Gli esperti di Malwarebytes hanno collegato quest’ultima campagna a quella monitorata dai ricercatori Sucuri a maggio.

Gli autori degli attacchi aggiungono un codice javascript offuscato nei siti Web compromessi, questo codice viene utilizzato per iniettare dinamicamente un iframe invisibile (1 × 1 pixel) nella pagina Web non appena viene caricato nel browser web.

La pagina Web avvia automaticamente l’attività di mining fino a quando il servizio URL shortner di Coinhive reindirizza l’utente all’URL originale.

“Nella Figura sopra abbiamo reso visibile l’iframe cambiando le sue dimensioni, per mostrare che anziché attendere alcuni secondi prima di essere reindirizzati, gli utenti rimarranno inconsapevolmente in per un tempo superiore stabilito dagli attaccanti” spiega Malwarebytes.

“Infatti, mentre l’impostazione predefinita di Coinhive è di 1024 hash, questa campagna richiede la risoluzione di 3.712.000 hash prima di caricare l’URL di destinazione”.

Gli esperti hanno anche scoperto che la stessa organizzazione criminale dietro l’ultima campagna ha compromesso molti altri siti inserendo link ipertestuali ad altri siti Web compromessi con l’intento di indurre le vittime a scaricare software miner di criptovaluta per sistemi desktop camuffati da aggiornamenti software legittimi.

Ulteriori informazioni, compresi gli indicatore di compromissione degli ultimi attacchi sono presenti nel blog post pubblicato da MalwareBytes.

 

Tags: #CRYPTOMINING #HACKER
Iscriviti alla newsletter di SI

Info, networking, best practice sull'innovazione digitale in Italia.

Home
Il magazine dell'innovazione e delle startup italiane
facebook
twitter
instagram
linkedin

 

LifeValore ResponsabileSmart MoneyThe food makers

 

TechEconomyEducationLifestyleStartupImpact

StartupItalia

Advisory BoardArea InvestorSIOSShoppingAgendaBandiLavora con noi
loading autori
StartupItalia! è una testata registrata presso il tribunale di Roma n. 167/2012
StartupItalia! SRL, Cagliari, Via Sassari 3, 09123, PIVA 13733231008, REA - CA - 352408, Capitale Sociale: € 28.924,60, PEC startupitalia (at) legalmail.it
Privacy 
|
 Cookie 
|
 Change privacy settings
Torna alla home
Life
Smart Money
The food makers
Valore Responsabile
That's Round
Cover Story
Economy
Education
Impact
Lifestyle
Startup
Tech
Agenda
Bandi
LIVE TV
SIOS
Shopping
RUBRICHE
Unstoppable Women
Bandi Istruzioni per l'uso
Imprenditori Sostenibili
Investimenti Digitali E Cripto
MY
Articoli Salvati
STARTUPITALIA
Advisory Board
Area Investor
Lavora con noi
Chi siamo