Il cryptojacking colpisce i mercati, il malware per il miner di Monero prende di mira oltre 3.500 siti

Gli attacchi di cryptojacking sono tornati, compromettendo oltre 3.500 siti web e dirottando silenziosamente i browser degli utenti per minare Monero, una criptovaluta incentrata sulla privacy. La campagna è stata scoperta martedì dalla società di sicurezza informatica c/side, quasi sette anni dopo la chiusura del servizio Coinhive, che aveva reso popolare questa tattica dal 2017.

Secondo i ricercatori di c/side, il malware è nascosto in un codice JavaScript offuscato che attiva silenziosamente un miner quando gli utenti visitano un sito infetto. Una volta che un visitatore atterra sulla pagina compromessa, lo script valuta silenziosamente la potenza di calcolo del dispositivo. Quindi avvia Web Worker paralleli in background per eseguire operazioni di mining, senza il consenso dell'utente.

Limitando l'utilizzo del processore e instradando le comunicazioni tramite flussi WebSocket, il miner evita di essere rilevato, nascondendosi dietro il normale traffico del browser. "L'obiettivo è quello di sottrarre risorse nel tempo, come un vampiro digitale in modo persistente", hanno spiegato gli analisti di c/side.

Come funziona il codice del cryptojacking

c/side ha trovato un codice inserito su un sito web tramite un file JavaScript di terze parti caricato da https://www.yobox[.]store/karma/karma.js?karma=bs?nosaj=faster.mo. Invece di minare direttamente Monero all'esecuzione iniziale, verifica prima se il browser dell'utente supporta WebAssembly, uno standard per l'esecuzione di applicazioni con elevate esigenze di elaborazione. 

Il codice valuta quindi se il dispositivo è adatto al mining e attiva i Web Worker in background denominati "worcy", che gestiscono le attività di mining in modo discreto e lasciano indisturbato il thread principale del browser. I comandi e i livelli di intensità del mining vengono inseriti da un server di comando e controllo (C2) tramite connessioni WebSocket. 

Il dominio di hosting del miner JavaScript è stato precedentemente collegato alle campagne Magecart, note per il furto di dati delle carte di pagamento. Ciò potrebbe indicare che il gruppo dietro l'attuale campagna abbia precedenti nella criminalità informatica. 

La minaccia si diffonde attraverso gli exploit dei siti web

Nelle ultime settimane, gli esperti di sicurezza informatica hanno scoperto diversi attacchi lato client su siti web basati su WordPress. I ricercatori hanno individuato metodi di infezione che incorporano codice JavaScript o PHP dannoso nei siti WordPress.

Gli aggressori hanno iniziato ad abusare del sistema OAuth di Google incorporando JavaScript nei parametri di callback collegati a URL come "accounts.google.com/o/oauth2/revoke". Il reindirizzamento indirizza i browser attraverso un payload JavaScript mascherato che stabilisce una connessione WebSocket al server del malintenzionato.

Un altro metodo prevede l'inserimento di script tramite Google Tag Manager (GTM), che vengono poi incorporati direttamente nelle tabelle del database di WordPress come wp_options e wp_posts. Questo script reindirizza silenziosamente gli utenti a oltre 200 domini spam. 

Altri approcci includono modifiche ai file wp-settings.php di WordPress per recuperare i payload dagli archivi ZIP ospitati su server remoti. Una volta attivati, questi script infettano il posizionamento SEO di un sito e aggiungono contenuti per migliorare la visibilità dei siti web fraudolenti.

In un caso, il codice è stato iniettato nello script PHP del footer di un tema, causando il reindirizzamento dell'utente da parte del browser a siti web dannosi. In un altro caso, è stato utilizzato un falso plugin di WordPress, denominato come il dominio infetto, che rileva quando i crawler dei motori di ricerca visitano la pagina. Il plugin inviava quindi contenuti spam per manipolare il posizionamento sui motori di ricerca, rimanendo nascosto ai visitatori umani.

C/side ha menzionato come le versioni 2.9.11.1 e 2.9.12 del plugin Gravity Forms siano state compromesse e distribuite tramite il sito ufficiale del plugin in un attacco alla supply chain. Le versioni manomesse contattano un server esterno per recuperare payload aggiuntivi e tentano di creare un account amministrativo sul sito.

Nell'autunno del 2024, l'Agenzia statunitense per lo sviluppo internazionale (USAID) è stata vittima di un attacco di cryptojacking dopo che Microsoft ha segnalato all'agenzia la violazione di un account amministratore in un ambiente di test. Gli aggressori hanno utilizzato un attacco di password spraying per accedere al sistema, creando poi un secondo account per operazioni di mining di criptovalute tramite l'infrastruttura cloud Azure di USAID.