Non che ci si potesse aspettare qualcosa di diverso. La crescita impetuosa nelle valutazioni di Bitcoin, Ethereum, Ripple e le altre criptovalute ha finito con l’attirare l’attenzione di hacker e malfattori virtuali vari, pronti a capitalizzare gli sforzi o gli investimenti di ignari utenti. Sfruttando malware e trucchetti vari, sono sempre di più i cybercriminali che vogliono mettere le mani su grosse quantità di Bitcoin e altcoin e capitalizzare così l’hype per le criptovalute. E se nella prima metà del 2017 i ransomware sono stati (anche) un mezzo per guadagnare Bitcoin, dalla seconda metà dell’anno in poi gli hacker hanno preferito seguire altre strade.
I malware delle criptovalute
Per massimizzare introiti e profitti, i cybercriminali hanno iniziato a sviluppare dei software malevoli che consentissero di rubare quanta più criptovaluta possibile in un solo colpo. Non solo: sfruttando vulnerabilità e falle varie, gli hacker hanno trovato un modo per “forzare” l’utente a minare per conto loro senza che quest’ultimo se ne renda conto. Insomma, una sorta di “rapimento” di risorse informatiche utilizzate per creare Bitcoin, ma anche Monero, Zcash e moltissime altre altcoin. D’altronde, l’imperativo categorico per gli hacker è solo uno: guadagnare quanto più possibile nel minor tempo.
Che cosa sono i cryptostealer
La prima tipologia di malware dei Bitcoin sono i cosiddetti cryptostealer, programmi malevoli specializzati nel furto di criptovalute in genere. Si tratta, di fatto, di trojan che infettano computer “alla cieca” alla ricerca di utenti che effettuano operazioni con le criptovalute (pagamenti, trasferimenti di denaro e così via). Una volta individuata la preda, il crypto stealer resta in ascolto “silente” sino a quando l’utente non tenta di effettuare un trasferimento di denaro da un wallet a un altro: a questo punto il cryptostealer sostituisce l’indirizzo del portafogli digitale di destinazione e “dirotta” Bitcoin, Ethereum, Ripple o Monero verso il wallet del cybercriminale. Un’operazione “legittima” da un punto di vista teorico e che non potrà essere scoperta sino al momento in cui l’utente che doveva ricevere la valuta digitale non andrà a controllare il proprio conto. A questo deve aggiungersi l’elevato livello di anonimato assicurato in genere dalle criptovalute, che rende impossibile rintracciare i cybercriminali autori del furto di Bitcoin.
Appartengono a questa famiglia i trojan CryptoShuffler e DiscordiaMiner, entrambi individuati dagli specialisti di Kaspersky Lab. Entrambi attivi nella seconda parte del 2017, hanno permesso agli hacker di rubare Bitcoin, Monero e altre criptomonete per svariate centinaia di migliaia di dollari in poche settimane.
I malware che minano
Al fianco dei cryptostealer sono arrivati, sempre nella seconda metà del 2017, un’altra tipologia di malware che agisce in maniera ancora più subdola, se possibile. Chiamati cryptojacker, sono conosciuti soprattutto con l’appellativo malware che minano: dopo aver infettato il sistema informatico, ne sfruttano le risorse inutilizzate per creare Bitcoin, Monero e altre criptomonete. Il tutto, ovviamente, senza che l’utente ne sappia nulla.
Nel corso dei mesi gli hacker si sono sbizzarriti, creando varie versioni di cryotojacker. Le più note sono quelle che sfruttano estensioni JavaScript e minano Bitcoin o Monero mentre visitiamo normali siti web, ma non sono le uniche. Vediamo nel dettaglio le varie tipologie di malware che creano criptovalute.
- Script realizzati in JavaScript. I più famosi e utilizzati cryptojacker sono gli script realizzati in JavaScript che si attivano non appena si visita un sito web. Si tratta di poche righe di codice da inserire all’interno della struttura del proprio portale: un’operazione che non richiede particolari conoscenze o abilità informatiche (ci sono portali che offrono il codice già pronto da implementare) e che, soprattutto, non è da considerarsi come illegale. Gli script non sono dei veri e propri malware, anche se agiscono in background, senza che l’utente possa accorgersi di cosa sta accadendo
- Estensioni Chrome compromesse. Per riuscire a “colpire” gli utenti indistintamente dal sito Internet visitato, gli hacker hanno compromesso un’estensione Chrome molto utilizzata – più di 100mila installazioni – inserendo al suo interno degli script in grado di minare Bitcoin e altre criptovalute. Una volta installata nel browser, l’estensione sfruttava tutte le risorse del PC per creare altcoin, senza che l’utente dovesse svolgere alcuna operazione in particolare
- Malware per smartphone. Non ci sono solo i computer al centro delle mire degli hacker. Anche gli smartphone, paragonabili a PC di caratteristiche medie in quanto a potenza di calcolo, sono stati oggetto di un attacco con cryptojacker. Scoperto dagli esperti di Kaspersky Lab, Loapi (questo il nome del malware Android che crea Bitcoin) viene scaricato sui dispositivi insieme ad applicazioni presenti nel Google Play Store e, una volta installato, sfrutta la potenza residua del SoC per minare altcoin. Loapi, però, ha degli effetti collaterali particolarmente spiacevoli: a essere messo sotto stress non è solo il SoC, ma anche la batteria al litio del dispositivo. In molti casi, dovendo sostenere sforzi inattesi, la batteria si è gonfiata, rischiando anche di esplodere
- Malware per Messenger. Gli esperti di Trend Micro hanno invece scoperto Digimine, un malware Bitcoin “travestito” da video e diffuso sfruttando la chat di Facebook. Una volta scaricato e installato, il virus inizia immediatamente a minare critpovalute e, allo stesso tempo, si “autoreplica” inviandosi via messaggio a tutti i propri contatti Facebook. Ciò gli consente di infettare, in poco tempo, migliaia di utenti e PC che, ignari, si ritrovano con un miner attivo all’interno del proprio dispositivo. Al momento, fanno sapere i ricercatori di sicurezza, il malware è indirizzato solamente agli utenti PC, mentre non ha alcun effetto sugli smartphone
Come difendersi da cryptostealer e cryptojacker
Pur trattandosi di due minacce differenti, le modalità per difendersi da cryptostealer e cryptojacker sono, a grandi linee, le stesse. Prima di tutto, è bene installare un antivirus e aggiornarlo sempre con le ultime definizioni antivirus. In questo modo si sarà protetti dalle minacce già note e, grazie alla difesa euristica, si sarà al riparo anche da malware dal funzionamento similare.
Per quanto riguarda malware come CryptoShuffler, invece, gli esperti di Kaspersky consigliano di essere sempre vigili quando si stanno per chiudere operazioni e transazioni con Bitcoin e altre criptovalute, verificando che l’indirizzo del wallet di destinazione non venga cambiato all’ultimo secondo.
I cryptojacker, data la loro natura eterogenea, richiedono invece tattiche difensive differenti. Per bloccare script ed estensioni JavaScript, ad esempio, potrebbe essere sufficiente installare un adblocker o altre estensioni ad hoc come NoCoin. Per quel che riguarda, invece, i malware veri e propri, potrebbe essere sufficiente un po’ di attenzione in più mentre si naviga: evitando di scaricare file di dubbia origine su smartphone o PC non si avranno poi problemi con virus e malware vari.