Il cryptojacking si è fatto furbo

Una nuova campagna malevola a base di mining Web si nasconde alla vista dell'utente, continuando a sfruttare la CPU locale anche dopo la chiusura del browser. Un "trucco" fin qui identificato su un singolo sito Web per adulti ma che potrebbe presto crescere in popolarità
Una nuova campagna malevola a base di mining Web si nasconde alla vista dell'utente, continuando a sfruttare la CPU locale anche dopo la chiusura del browser. Un "trucco" fin qui identificato su un singolo sito Web per adulti ma che potrebbe presto crescere in popolarità

I ricercatori di Malwarebytes hanno individuato una nuova variante di script malevolo dedito al cryptojacking , un codice pensato per rendersi invisibile agli occhi dell’utente pur continuando a sfruttare la potenza della CPU dopo la chiusura del browser .

Il codice JavaScript del nuovo miner da Web è infatti in grado di aprire una piccola finestra del browser con dimensioni fisse (100 per 40 pixel) e di nasconderla dietro la barra delle attività , fatto che permette al malware di continuare a funzionare anche alla chiusura della finestra principale del suddetto browser da parte dell’utente.

In questo modo lo script può risultare sostanzialmente invisibile , a meno che l’utente non modifichi le dimensioni della Taskbar – rendendo così visibile la finestra nascosta – o tenga sotto controllo l’utilizzo della CPU. Anche in quest’ultimo caso, il malware è progettato per mitigare i sospetti limitandosi a sfruttare una parte dei cicli-macchina del processore piuttosto che il 100 per cento com’è abitudine della “concorrenza”.


L’obiettivo finale è in ogni caso sempre lo stesso, vale a dire il mining di criptomoneta Monero tramite una variante personalizzata del solito script Coinhive . La chiusura del processo relativo alla finestra nascosta – tramite Gestione attività di Windows o tool di terze parti similari – è una misura sufficiente a interrompere le attività del malware.

Stando ai ricercatori, al momento lo script di mining invisibile o quasi è stato individuato all’interno di un singolo sito Web per adulti; vista la popolarità crescente di questo genere di minaccia, non è improbabile ipotizzare una proliferazione del medesimo modus operandi anche altrove.

Alfonso Maruccia

fonte immagine

Link copiato negli appunti

Ti potrebbe interessare

01 12 2017
Link copiato negli appunti