Mining via browser, continua anche se chiudi la finestra

Usare il computer di qualcun altro per generare denaro. Si riassume così il concetto del mining abusivo, fatto da certe pagine web a spese degli internauti. Le nuove versioni risultano molto più difficile da individuare.

Avatar di Valerio Porcu

a cura di Valerio Porcu

Senior Editor

È ormai un fatto noto, o dovrebbe esserlo, che andando su certe pagine web si attiva un cryptominer. Cioè un programma che sfrutta il computer del visitatore per generare criptomonete (Monero soprattutto ma non solo). Il carico del processore va al 100% e finché non si lascia la pagina il PC è più o meno inutilizzabile.

Si tratta di malware vero e proprio, e spesso il proprietario del sito è una vittima tanto quanto il visitatore. In genere infatti un terzo soggetto infetta il sito e si tiene i guadagni, mentre al titolare della pagina resta la figuraccia - la settimana scorsa per esempio è stata scoperta un'infezione che colpiva i chatbot di assistenza; un'operazione che alcuni hanno definito "un colpo da maestro".  

Ebbene, il passo successivo è tenere attivo il mining anche dopo che si è chiusa la finestra incriminata. Lo rivelano i ricercatori di Malwarebytes, che spiegano come sia possibile sfruttare un pop-under per raggiungere lo scopo. Questa è praticamente una finestra che si apre ma non va in primo piano come i tradizionali pop-up. Ci sono buone probabilità che passi inosservata, dunque, soprattutto se vengono aggiunte tecniche per renderla difficile da individuare - per esempio posizionandola dietro ad altri elementi grafici.

"Questo tipo di pop-under è progettato per aggirare gli adblocker ed è molto più difficile da identificare. Chiudere la finestra premendo la "X" non è più sufficiente. Gli utenti più esperti useranno il Task Manager per verificare i processi del browser avviati e fermarli. In alternativa, la barra delle applicazioni mostrerà ancora l'icona del browser come attiva (pur avendo chiuso tutte le finestre visibili, NdR) a indicare che qualcosa è ancora in esecuzione". Strumenti specifici come CoinHive Blocker sono certamente di aiuto, ma è una lotta che si evolve ora per ora e non si può mai abbassare la guardia.

Questo è quanto spiega l'esperto di Malwarebytes Jérôme Segura, che ha eseguito i test su Google Chrome - con altri browser i risultati potrebbero essere diversi. Un altro elemento usato per rendere più difficile l'individuazione del malware è che in alcuni casi non c'è più quel carico eccessivo della CPU.

os compare[1]
win7 mitigation[1]
win10 mitigation[1]

Clicca per ingrandire

Con un carico solo leggermente superiore al normale, diciamo il 55%, molti utenti potrebbe non notare nulla di strano - il computer tutto sommato funziona come sempre. L'attacco quindi prosegue e l'autore continua a guadagnare criptomonete per tutto il tempo che il computer resta acceso - o finché la finestra non viene chiusa in qualche altro modo.

Malwarebytes ha individuato in Ad Maven il network responsabile, una società specializzata proprio nello sviluppo di pop-under. Loro però si occupano di aprire la finestra, non controllano o gestiscono quello che c'è all'interno. Il miner vero e proprio è ospitato sul cloud Amazon (AWS) e sembra recuperare il payload dal domino hatevery.info. Su chi siano gli autori materiali dell'attacco, per ora, resta il mistero.

Il problema per il singolo utente potrebbe essere marginale: dopotutto se il carico sul processore è limitato, si tratta al massimo di un dispendio energetico imprevisto. E non parliamo di centinaia di euro in più sulla bolletta, ma di cifre che ognuno di noi potrebbe attribuire a una lavatrice in più - magari due.

Se consideriamo però l'impatto su larga scala, allora la questione può diventare molto più seria. Come abbiamo già visto qualche giorno fa, infatti, il consumo energetico globale dovuto al mining è già causa di preoccupazioni molto serie. Sul tema è tornato il Guardian lo scorso 27 novembre, con un articolo che racconta come solo il network di Bitcoin abbia un consumo annuale che supera quello dell'Irlanda.  Parliamo di oltre 30 TWh, sufficienti a superare almeno 19 paesi UE e decine di altri nel mondo. Secondo i calcoli fatti dal quotidiano britannico, ogni transazione BTC assorbe circa 300 KWh.