Malware, anche su YouTube i miner di criptovalute occultati nei banner
La piaga dei miner di criptovalute nascosti nei banner pubblicitari ha colpito anche YouTube, preso di mira la scorsa settimana. Le prime avvisaglie si sono avute con una serie di lamentele diffuse sui social media da svariati utenti, allertati per le notifiche del software antivirus indicanti la presenza di in web-miner nel momento in cui hanno visitato il popolare sito di video-sharing
Nella giornata di venerdì i ricercatori di Trend Micro hanno osservato che gli autori della campagna hanno sfruttato la piattaforma DoubleClick di Google per mostrare le inserzioni dannose ai visitatori di alcuni Paesi, tra cui Giappone, Francia, Taiwan, Spagna e Italia.
In nove casi su 10 l’inserzione faceva uso dello script di Coinhive, del quale abbiamo già avuto modo di parlare nei mesi scorsi, e che offre ai sottoscrittori la possibilità di trarre profitto sfruttando le risorse energetiche e di calcolo di sistemi terzi, all’insaputa del legittimo proprietario, tramite il mining di Monero. Nel restante 10% dei casi i ricercatori hanno riscontrato uno script collegato ad un pool di mining privato, diverso da quello di Coinhive, che permette agli attaccanti di intascarsi l’intero ammontare generato dall’attività di mining, laddove Coinhive trattiene invece una commissione del 30%. Entrambi gli script sono programmati per consumare fino all’80% delle capacità di computazione del sistema preso di mira, lasciando libere solamente le risorse necessarie per l’operatività di base.
“Il mining di criptovalute tramite inserzioni pubblicitarie è una forma di abuso relativamente nuova che viola le nostre regole e che stiamo monitorando attivamente. Applichiamo le nostre regole tramite un sistema di rilevazione multilivello tra le nostre piattaforme, che aggiorniamo man mano che emergono nuove minacce. In questo caso le inserzioni sono state bloccate in meno di due ore e gli attori malevoli sono stati rimossi velocemente dalle nostre piattaforme” ha spiegato un portavoce di Google ad Ars Technica. Dichiarazioni che però non sembrano collimare precisamente con la realtà dei fatti, in quanto gli elementi raccolti da Trend Micro e le lamentele degli utenti sui social network mostrano che la circolazione delle inserzioni contenenti il javascript-miner è avvenuta per circa una settimana.
In ogni caso i siti che offrono contenuti video sembrano essere quelli più appetibili per questo tipo di campagne di malvertising, dal momento che è proprio su questi siti che gli utenti tendono a trascorrere più tempo e offrendo così agli autori delle campagne la possibilità di massimizzare il proprio illecito profitto. (fonte)
