Cryptojacking, con un singolo attacco infettati oltre 4000 siti web

Durante lo scorso mese di settembre il “popolare” sito The Pirate Bay aveva avviato la sperimentazione di un nuovo modo di generare flussi di fatturato usando uno script per il mining di criptovalute che sfrutta le risorse di computazione del sistema del visitatore. Lo script era messo a disposizione da Coinhive, un vero e proprio sistema di monetizzazione “as a service” che si propone a coloro i quali vogliono provare a sfruttare fonti di monetizzazione alternative rispetto ai tradizionali banner pubblicitari

La mossa di The Pirate Bay ha rappresentato un precedente importante, con sempre più siti web che ne hanno seguito le orme tanto che appena ad ottobre erano circa 500 milioni i sistemi stimati di essere esposti al cosiddetto “cryptojacking”. Lo scorso mese qualcuno ha avuto la malefica intuizione di sfruttare lo script di Coinhive ed integrarlo in alcuni banner serviti sui circuiti pubblicitari di YouTube.

L’ultimo significativo episodio risale invece alla scorsa domenica, quando il consulente di sicurezza IT Scott Helme ha riscontrato che un software antivirus segnalava come compromesso il sito dell’Information Commissioner’s Office (ICO) del Regno Unito. Helme ha effettuato qualche indagine scoprendo che tutte le pagine del sito web ospitavano uno scritp di Coinhive, caricato però tramite una libreria di terze parti e pertanto non parte del codice del sito web dell’ICO.

Dopo ulteriori ricerche Heme ha individuato che la libreria è fornita da una società chiamata Texthelp e che mette a disposizione il plugin Browsealoud, una soluzione che assiste i portatori di handicap visivi a navigare sul web. Ciò significa che qualsiasi sito web facente uso di Browsealoud è, suo malgrado, rimasto compromesso dallo script di Coinhive. Helme ha individuato oltre 4 mila siti web toccati dal problema, con vari siti di agenzie governative britanniche, australiane, irlandesi e statunitensi.

Il servizio Browsealoud è stato temporaneamente messo offline e, nonostante Texthelp abbia già risolto il problema, resterà così fino alle ore 12 GMT del 15 febbraio così che gli utenti del servizio possano essere messi al corrente della situazione e delle contromisure intraprese dalla società. Texthelp ha comunque comunicato che la violazione di sicurezza non ha compromesso i dati degli utenti, poiché l’intento è stato solamente quello di accedere alle risorse di computazione del sistema dei visitatori per minare criptovalute, per altro in una finestra temporale di sole 4 ore la scorsa domenica. (fonte)

You may also like...