Cosa è il cryptojacking e come difendersi

I malware di cryptojacking portano il nostro PC a generare valuta virtuale per altri, facendoci consumare energia e risorse. E sono troppo sottovalutati.

Autore: Redazione BitCity

Relativamente poco conosciuto, il cryptojacking si sta affermando come la forma di malware più efficace e redditizia per i criminali informatici, soppiantando in questo il più noto ransomware. È vero che una infezione legata al cryptojacking rende meno del blocco di un PC via ransomware, ma è più semplice da completare e comporta meno rischi per chi la causa. Anche perché, spesso, il malcapitato utente colpito non si accorge nemmeno di essere stato infettato.

Come indica il nome, il cryptojacking è legato alla generazione di criptovalute. Per comprenderlo bene è quindi utile ricordare come si "creano" le monete virtuali come Bitcoin. Il processo di cryptomining (o semplicemente mining) è figurativamente assimilato all'estrazione di minerali: le unità di criptovaluta vengono "estratte" facendo compiere al proprio computer una serie di calcoli matematici complessi.

Questi calcoli non generano direttamente criptovaluta ma contribuiscono in piccola parte a gestire l'infrastruttura virtuale su cui si basa una specifica criptovaluta. Come compenso per questo contributo in tempo e capacità elaborativa, il miner riceve una certa quantità di criptovaluta.

Qui entra in gioco il cryptojacking, che in concreto è scaricare sul computer di un utente un malware che fa i calcoli di mining per conto di un hacker ostile, il quale riceverà la criptovaluta corrispondente a questo lavoro senza aver impiegato alcuna sua risorsa. Già, perché il problema del cryptojacking è che consuma: in primis energia elettrica (anche tanta, e lo si vede poi in bolletta a fine bimestre), in secondo luogo i componenti del PC che esegue i calcoli. E quindi, in ultima analisi, ci porta un danno economico.


Come si diffonde il cryptojacking

I malware di cryptojacking si diffondono come qualsiasi altro malware, ad esempio via phishing o sfruttando una delle possibili vulnerabilità non corrette del PC bersaglio. Ma si può infettare un computer anche solo con codice JavaScript integrato in pagine web o contenuti pubblicitari online: una volta caricato nel browser, il codice attiva le operazioni di mining.

I malware di mining sono stati poi distribuiti attraverso gli Store di app mobili, perché anche la (relativamente) ridotta potenza di calcolo di uno smartphone serve allo scopo dei criminali-miner, o inseriti in estensioni per i principali browser.

I PC infettati dai malware di minig possono anche operare in blocco, come una botnet. A inizio 2018 ha ad esempio fatto notizia la botnet Smominru, con oltre 520 mila nodi infettati. Si stima che al momento della scoperta la botnet stesse generando criptovaluta Monero per circa 8 mila dollari la settimana.


Come si scopre il cryptojacking

Un malware di cryptojacking non è semplice da individuare perché il suo effetto non è macroscopico. I sintomi della presenza di un cryptominer sono un degrado delle performance complessive del PC e un aumento del consumo energetico, entrambi conseguenza del carico di lavoro supplementare per il mining. Spesso però non ci si fa caso: un computer può essere lento per mille ragioni, il consumo aumentato lo si vede in bolletta solo dopo qualche tempo.

Diversi prodotti anti-malware sanno riconoscere le infezioni di cyptojacking e rappresentano quindi la soluzione più semplice per difendersi. Non tutti però rilevano tutti i possibili software di mining, perché in effetti - anche se sembra paradossale - non è sempre illegale usare il nostro PC per fare mining conto terzi. Lo diventa se noi non lo sappiamo, ma ci sono siti web (sempre meno, per fortuna) che esplicitamente caricano codice JavaScript di mining nel browser di chi li visita, in cambio di benefici come una navigazione senza pubblicità. CoinHive ha ad esempio costruito un intero modello di business su questo approccio.

Un altro modo per evidenziare i cryptominer è analizzare il traffico Internet generato dal nostro PC e l'andamento del carico della CPU. Entrambi risultano anomali rispetto al normale: il processore è sovraccaricato e un cryptominer ha un profilo di traffico peculiare (scarica pochi dati da Internet ed esegue upload corposi, il tutto a intervalli regolari). Molti prodotti anti-malware hanno anche strumenti di monitoraggio che servono a verificare questi tratti distintivi.

A meno che il malware non sia fatto ad hoc per evitarli, cosa possibile perché i cryptominer sono in costante evoluzione e stanno diventando sempre più sofisticati.

Visualizza la versione completa sul sito

Informativa
Questo sito o gli strumenti terzi da questo utilizzati si avvalgono di cookie necessari al funzionamento ed utili alle finalità illustrate nella cookie policy. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie, consulta la cookie policy. Chiudendo questo banner, acconsenti all’uso dei cookie.