Cryptojacking: come rilevarlo e come proteggere i vostri dispositivi?

Nel cryptojacking, i criminali informatici infettano computer e dispositivi mobili con dei malware al fine di utilizzarne la potenza di calcolo per generare criptovalute. Un’infezione di questo tipo può essere rilevata da un carico inspiegabilmente elevato della CPU. Vi sono, tuttavia, diversi metodi che aiutano a rilevare, fermare e prevenire il cryptojacking.

Il termine cryptojacking deriva dalla fusione delle parole inglesi “cryptocurrency” e “highjacking” (in italiano rispettivamente “criptovalute” e “dirottamento”) e indica un malware ibrido trasmesso sotto forma di trojan e script. I cryptojacker hanno ormai sostituito i ransomware e i virus come una delle più grandi minacce online a livello globale. I criminali informatici dirottano i sistemi infiltrati per il mining di criptovalute, senza essere rilevati. Di conseguenza, l’uso della CPU e il consumo di energia sono estremamente elevati. A differenza di altri malware, i cryptojacker sono principalmente interessati a dirottare le risorse di calcolo, mentre lo spionaggio dei dati sensibili dell’utente o del sistema non ha alcuna rilevanza.

Il cryptojacking è legato al processo di mining di criptovalute, in cui i minatori forniscono la propria capacità di calcolo o capacità combinate (se facenti parte di un pool di mining) per legittimare e verificare le transazioni effettuate con criptovalute e documentarle nella Blockchain. Per garantirne la legalità, le transazioni in Bitcoin, ad esempio, sono registrate pubblicamente. Tuttavia, le altcoin anonimizzate, come Monero ed Ethereum, offrono ai criminali informatici l’anonimato necessario per effettuare delle transazioni illegali avvalendosi di sistemi infetti.

Più il mining di criptovalute diventa impegnativo in termini di risorse e di tempo e più il mining redditizio dipende in misura crescente da elevate capacità di calcolo e da un costoso consumo energetico. Il mining illegale sotto forma di cryptojacking mira a utilizzare le risorse di calcolo di altri utenti per generare profitti senza sostenere costi operativi. A tal fine, i sistemi interessati vengono spesso aggiunti alle botnet di mining che agiscono come pool di mining illegali e raggruppano la potenza di calcolo.

Diventare parte di una rete di cryptojacking su larga scala, involontariamente e inconsapevolmente, è più facile di quanto si pensi. Potreste infatti essere attirati da uno scareware e finire per cliccare su un link che porta a un sito web infetto o scaricare un’applicazione di terze parti da una fonte dubbia. L’unica cosa che potreste notare è un sistema più lento, poiché un trojan userà le capacità di calcolo del vostro PC o dispositivo mobile in background.

Gli utenti domestici non sono l’unico obiettivo dei cryptojacker: dei casi famosi di cryptojacking hanno coinvolto grandi marchi e aziende come, ad esempio, Tesla Motors. In questa istanza, i dipendenti hanno usato delle applicazioni non protette, infette da script di cryptojacking. Un altro caso noto è stato quello dei negozi Starbucks a Buenos Aires in cui il Wi-Fi fornito ai clienti è stato usato come ponte attraverso il quale è stata dirottata la potenza di calcolo dei computer portatili e dei dispositivi mobili collegati. Altri esempi noti includono i siti web di Cristiano Ronaldo e dello Zoo di San Diego che hanno inconsapevolmente usato il programma di mining Coinhive per estrarre la potenza di calcolo dei visitatori del sito.

A seconda di come i computer o i dispositivi mobili altrui vengono utilizzati per il cryptojacking, si distinguono le seguenti categorie di malware pericolosi:

• Cryptojacking attraverso trojan o adware: i sistemi che vengono infettati con un trojan di cryptojacking attraverso dei siti web, file, download o altri mezzi infetti vengono utilizzati per rendere la CPU o la GPU disponibili per il mining. Poiché questi aggirano i programmi antivirus e la Gestione attività, in genere rimangono inosservati per molto tempo.
• Cryptojacking attraverso JavaScript o browser: in questo caso, il codice di mining è nascosto in uno script nei siti web, ad esempio sotto forma di frammenti di codice del programma Coinhive ed eseguito dal browser. I visitatori di un sito web offrono quindi inconsapevolmente la loro potenza di calcolo per il mining, alle volte anche dopo aver lasciato il sito infetto, il che è possibile attraverso pop-up o schede nascoste. Dal momento che i portali di streaming mantengono i loro utenti sulla pagina per un lungo periodo di tempo, sono spesso colpiti da codici di mining nascosti in lettori video o annunci di cryptojacking mascherati.

Sembra ironico che il creatore del codice JavaScript Coinhive, ampiamente utilizzato per il cryptojacking, affermi che Coinhive è un’alternativa ai classici banner pubblicitari. Tuttavia, l’idea dietro un codice come Coinhive non è illegale, a condizione che non se ne abusi. In linea di principio, un codice integrato nei siti web, attraverso il quale i visitatori accettano consapevolmente il mining, può essere un’alternativa sicura alle pubblicità che portano a dei siti malevoli di scam o phishing o al furto di dati sensibili degli utenti.

Il prerequisito in questo caso è che i visitatori della pagina accettino di offrire una parte della loro potenza di calcolo per la visita al sito web, come nel caso delle richieste dei cookie. In questo modo, i gestori di siti web riescono a finanziarsi anche senza un’eccessiva quantità di pubblicità incontrollata. Tuttavia, questo può essere implementato solo attraverso degli standard indipendenti e una completa trasparenza dei codici di mining di criptovalute nei progetti web. Un esempio di successo per l’uso legale di Coinhive è rappresentato da un’iniziativa di beneficienza di UNICEF Australia in cui le donazioni sono state generate attraverso le visite al sito web.

Se vi state chiedendo se il vostro dispositivo sia affetto da un malware di mining di criptovalute, dovreste prestare attenzione al segno più comune per il riconoscimento dei malware: un inspiegabile carico elevato di CPU o GPU. Poiché i cryptojacker sono principalmente interessati alla potenza di calcolo, è difficile nascondere l’impatto del malware. Per generare alti profitti dal cryptojacking, infatti, il carico di lavoro deve essere ugualmente alto. Questo a volte può raggiungere fino al 90 o 100 per cento della potenza di calcolo.

Una ventilazione del computer particolarmente rumorosa o il surriscaldamento del dispositivo indicano che vi sono dei processi in esecuzione in background. Generalmente, a meno che non stiate eseguendo compiti di calcolo intensi, il vostro dispositivo non dovrebbe surriscaldarsi. Se questo avviene, può essere indicativo di una possibile infezione di malware. Nel peggiore dei casi, il cryptojacking non rilevato può accorciare la durata del vostro dispositivo a causa del carico permanente e causare bollette energetiche più alte.

Se siete stati affetti da dei trojan di cryptojacking, dovreste procedere come per qualsiasi altra infezione di malware:

scansionate il dispositivo utilizzando un software anti-malware affidabile per verificare se il programma maligno è rilevabile ed eliminate quindi il malware. Tuttavia, poiché i trojan di cryptojacking possono disabilitare i software antivirus e ingannare la Gestione attività o nascondersi nei file del registro di sistema, questo metodo non ha sempre successo.

In questo caso, se i programmi anti-malware non riescono a rilevare nulla, bisognerà contattare un esperto di sicurezza informatica professionale. Altrimenti, potreste andare sul sicuro riavviando completamente il vostro dispositivo, ad esempio utilizzando l’ambiente di ripristino di Windows (Windows Recovery Enviroment o WinRE).

È possibile prevenire i trojan di cryptojacking seguendo alcuni accorgimenti. Questi includono un aggiornamento costante del vostro sistema, l’installazione di aggiornamenti necessari e l’utilizzo di un programma antivirus affidabile e regolarmente aggiornato. Inoltre, potrete prestare attenzione a dei comportamenti sospetti del sistema, come ad esempio il riscaldamento immotivato del vostro dispositivo, una forte ventilazione o una lenta potenza di elaborazione.

Poiché il cryptojacking non sempre infetta il sistema, ma dirotta anche le capacità di calcolo tramite degli script Java, pubblicità o streaming, il mining illegale può essere impedito bloccando gli script Java o le liste di filtri per il mining. Gli script Java possono quindi essere disabilitati in qualsiasi browser. Tuttavia, questo può comportare la mancata esecuzione di alcune funzionalità del sito web. Vi sono anche delle estensioni del browser come “No Coin” o “MinerBlock” che tentano di prevenire direttamente le attività di mining nel browser.

L’opzione ancora più sicura è utilizzare soluzioni di sicurezza olistiche, come MyDefender di IONOS o Malwarebytes, che rilevano sia i malware “classici” che i malware di mining e li combattono.

Dal momento che il cryptojacking può danneggiare l’hardware e portare alla perdita di dati, è opportuno eseguire regolarmente un backup dei vostri dati utilizzando dei supporti esterni. MyDefender di IONOS è un’opzione adatta che offre backup automatici in data center certificati ISO per una doppia protezione e backup multipli. È inoltre possibile eseguire il backup di dati selezionati o di interi sistemi.

I malware possono essere raggruppati in approssimativamente tre categorie:

• Virus: codici di programmi malevoli che si moltiplicano, manipolano e danneggiano i sistemi.
• Worms: una sottoclasse dei virus che manipola i sistemi, li danneggia, apre l’accesso ad altri malware, sovraccarica la capacità del computer e, a differenza dei virus, si diffonde senza l’intervento dell’utente, ad esempio attraverso le e-mail e lo spam nelle reti; un esempio ben noto è Emotet.
• Trojan: codici di programmi maligni che non riproducono ma manipolano le funzioni del sistema.

Come dimostra il cryptojacking, i limiti tra i programmi maligni sono sottili. Ad esempio, i worm informatici spesso servono ad aprire l’accesso a trojan e rootkit dannosi. Le funzioni più comuni del malware includono:

• Spionaggio e phishing di dati sensibili di accesso e degli utenti.
• Diffusione o download di ulteriori malware, ad esempio come parte di una botnet.
• Infiltrazione mirata a effettuare attacchi informatici.
• “Highjacking” di sistemi per eseguire dei compiti prestabiliti.
• Sovraccarico di computer e sistemi a causa di attacchi DDoS e DoS.
• Crittografia dei dati a scopo di estorsione come nel caso dei ransomware.