Cryptojacking: oltre 4.000 siti web caricavano un miner di crittomonete

Nelle scorse ore il consulente informatico Scott Helme si è accorto che oltre 4.000 siti web, la maggior parte dei quali appartenenti a pubbliche amministrazioni ed enti governativi, indicavano al browser di caricare un miner di crittomonete.

Aprendo una qualunque delle pagine web affette dal problema, la CPU del sistema client di ciascun utente veniva immediatamente posta sotto stress per avviare il mining di monete virtuali Monero.

L’attività di cryptojacking, come spiegato nell’articolo Bloccare i miner di crittomonete sul web e difendersi dal cryptojacking consiste ai criminali informatici di sfruttare la potenza di calcolo dei singoli dispositivi per l’arricchimento personale.

In questo caso, infatti, lo script inserito nelle pagine web che provocava il caricamento del noto componente Coinhive era collegato al medesimo portafoglio.

Va detto che l’attacco non è stato direttamente sferrato nei confronti degli oltre 4.000 siti pubblicati a questo indirizzo; è stato invece lanciato contro BrowseAloud, un componente aggiuntivo che abilita funzionalità per l’accesso facilitato sui siti web.
Esso consente infatti di ottenere la lettura dei testi mediante sintetizzazione vocale e di accedere alla traduzione di termini ed espressioni.

Aggredendo il sito web degli sviluppatori di BrowseAloud e modificando il contenuto del file JavaScript, i criminali informatici hanno potuto così automaticamente attivare il mining su migliaia di siti web.
La società sviluppatrice di BrowseAloud ha comunicato di aver risolto il problema ma sono in corso indagini per verificare come gli aggressori abbiano potuto modificare il codice JavaScript ospitato su server.

Ancora una volta appare chiaro quanto sia cruciale la scelta dei componenti che vengono caricati in modalità remota sui propri siti web. Un codice JavaScript malevolo è infatti potenzialmente in grado di leggere e modificare l’intera struttura della pagina web.
Vi ricordate il comportamento di Disqus che avevamo messo a nudo qualche tempo fa (vedere Disqus modifica la destinazione di alcuni link in modo arbitrario: attenzione)?