I miners di criptovaluta, bitcoin in primis, stanno sfruttando illecitamente i siti WordPress con malware ad hoc. Lo denuncia WordFence in un post sul suo blog. Nel mese scontro il team di cybersecurity dell’azienda ha monitorato molto attentamente la situazione sulla piattaforma.
Ciò che ha rilevato è che sono cominciati una serie di cyber attacchi per caricare mining malware su numerosi siti e, di conseguenza, è intervenuta per aiutare i clienti già infetti a bonificare i loro spazi. In questo caso, comunque, non sono coinvolti i bitcoin – almeno per ora -, ma Monero.
In cosa consiste il cryptocurrency mining
Che cos’è il cryptocurrency mining? Il processo prevede che, grazie a una grande potenza di calcolo, si contribuisca alla creazione di nuova valuta digitale nell’ambito del network. In questo contesto ci sono dei soggetti, detti miners, che mettono a disposizione le loto macchine in cambio di bitcoin, Monero o altri. Per alcuni è diventato una vera attività imprenditoriale, in quanto è necessario disporre di computer e attrezzatura molto potenti. Di conseguenza, sono necessari investimenti ingenti e continuativi. Qualcuno, però, ha pensato di sfruttare illecitamente una serie di utenti e piattaforme, come avvenuto nel caso di WordPress, caricando sui siti un malware che fa fare loro una serie di operazioni. Perciò, mediante i cyber attacchi, si cerca di delegare gli sforzi necessari, ottenendo così più facilmente e a costi molto minori i bitcoin.
Quali danni produce il malware per il cryptocurrency mining
Le cyber aggressioni, però, non sono innocue. Le vittime di fatto rubano inconsapevolmente potenza ai visitatori dei loro siti su WordPress. Ciò si tramuta nell’immediato in un’esperienza povera di visualizzazione, in quanto le risorse di calcolo necessarie sono convogliate nel cryptocurrency mining. Ci sono anche alcuni proprietari di siti e blog che volontariamente accettano il malware per trarne profitto. Che sia in bitcoin o alternative come Monero. Però, lo fanno senza avvertire i navigatori. Pratica, nella migliore delle ipotesi, scorretta.
I cyber attacchi sono cominciati il 17 settembre. Finora sono limitati e non sofisticati, ma la situazione sta cambiando
WordFence ha scoperto che il primo cyber attacco a WordPress per cercare di inserire un codice di cryptocurrency mining è avvenuto il 17 settembre. Finora il volume delle offensive non è stato molto elevato e si tratta comunque di azioni non sofisticate. Gli esperti di cybersecurity, però, stanno rilevando un cambiamento di passo. Hanno notato, infatti, che diversi siti sono stati hackerati col malware e che questo permette ai suoi possessori di guadagnare illecitamente Monero. Di conseguenza, le azioni si stanno evolvendo a seguito del fatto che in alcuni casi hanno successo. Tutte, comunque, sfruttano ben note vulnerabilità nella sicurezza. Oppure cercano di compromettere gli account degli amministratori o attraverso FTP infiltrati.
Come si guadagna cryptocurrency con il malware?
I cyber aggressori inseriscono un codice Javascript da Coinhive sui siti WordPress compromessi. Questo permette di fare mining in relazione a una valuta digitale chiamata Monero. È diversa da altre come i bitcoin, in quanto non garantisce vantaggi ai miners che usano GPU o altro hardware specializzato. Quindi, per ottenere la criptovaluta, il cybercrime deve usare browsers, eseguendo comandi come JavaScript sui computer degli utenti. Chi, infatti, installa Coinhive sul suo sito guadagna denaro virtuale. E gli hacker che lo inseriscono su centinaia di siti, lo fanno in modo quasi esponenziale. Si parla di cifre pari a circa 2.400 dollari al mese in media per ogni 1.000 utenti infetti.
WordFence ha attivato una serie di difese ad hoc contro i cryptominers scripts
I ricercatori di cybersecurity ritengono che questo tipo di cyber attacchi, contro WordPress e altre piattaforme, cresceranno di popolarità molto velocemente. Ciò soprattutto grazie agli alti guadagni generati col minimo sforzo del cybercrime. Le aggressioni, inoltre, diventeranno sempre più sofisticate e punteranno ai siti con i volumi di traffico maggiormente elevati. A proposito WordFence è intervenuta in 2 modi. Ampliando la potenza del firewall e aggiungendo capacità di rilevamento per i cryptominer scripts. Lo scanner, perciò, avviserà gli utenti in caso sia stati contagiati col malware e il firewall bloccherà ogni upload che contiene questi scripts. Inoltre, si mette a disposizione il servizio di bonifica del sito web, che verrà “pulito” e rimesso online il più velocemente possibile.
