Coinhive è il malware di criptovalute più diffuso al mondo

DiMarco Nisticò

PUBBLICATO IL 12 Giu 2018 ALLE 17:02 - AGGIORNATO IL 4 Aprile 2020 ALLE 18:00 #sicurezza

Secondo uno studio effettuato da Check Point, azienda specializzata in sicurezza informatica, Coinhive è il malware di criptovalute più diffuso del mondo.

Da qualche tempo collaboriamo a stretto contatto con Check Point, azienda leader per la cybersecurity, al fine di aggiornarvi con le ultime notizie riguardo malware, falle di sicurezza e così via. Nei mesi scorsi vi abbiamo portati alcuni articoli riguardanti questi argomenti, come la scorta di kit di phishing fai-da-te oppure vulnerabilità negli smartphone. Quest’oggi vogliamo trattare l’argomento mining e criptovalute. Fortunatamente il mining ultimamente è un fenomeno che sta scemando, portando ad un leggero miglioramento dei prezzi delle schede video. Purtroppo però esistono ancora parecchi malware che sfruttano il fenomeno per attaccare diversi dispositivi e costringerli, all’insaputa degli utenti, a minare criptovalute.

Coinhive, il malware per antonomasia

Quando pensiamo ad un malware, subito ci vengono in mente i classici Trojan oppure i ramsonware. Esistono però dei malware altrettanto pericolosi, ovvero quelli di criptovalute. La loro pericolosità è dovuta essenzialmente al fatto che tali software agiscono all’insaputa della vittima e vanno a sforzare sensibilmente le componenti hardware del dispositivo colpito, riducendone drasticamente il ciclo vitale. Questo può risultare un problema non da poco se non ci si accorge subito di ciò che sta accadendo al nostro dispositivo.

Uno dei malware di criptovalute più famoso è sicuramente Coinhive. Secondo i dati del Global Threat Index di Check Point® Software Technologies Ltd., nel mese di maggio Coinhive ha attaccato circa il 22% delle aziende, con un incremento del 50% rispetto al mese precedente. Dunque per il quinto mese consecutivo Coinhive si conferma come il malware più diffuso in Italia e nel mondo. Però non è l’unico presente in giro. Infatti a seguire abbiamo Cryptoloot, con un buon 11% di dispositivi colpiti, e Roughted, malware malvertising che si ferma all’8%. In Italia è diffuso molto anche Coinficker, che colpisce principalmente i sistemi Windows.

Non solo malware di criptovalute

Anche gli smartphone sono colpiti in gran numero, soprattutto per la mancata sicurezza che spesso viene meno. In questo caso si parla di Lokibot, specializzato per rubare informazioni personali, Triada, che sfrutta un backdoor per dare privilegi di amministratore a software malevoli, e Lotoor, in grado di ottenere i privilegi di root sui dispositivi infetti. Questi tre malware colpiscono principalmente i dispositivi Android.

Gli hacker sfruttano anche falle di sicurezza presenti nei sistemi Windows Server e SQL. Nello specifico abbiamo:

  • Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow (CVE-2017-7269): inviando una richiesta a una rete Microsoft Windows Server 2003 R2 tramite Microsoft Internet Information Services 6.0, un hacker potrebbe eseguire un codice arbitrario o causare una negazione delle condizioni del servizio sul server di destinazione. Ciò è dovuto principalmente a una vulnerabilità di overflow del buffer causata da una errata convalida di un header lungo nella richiesta HTTP. La patch è disponibile da marzo 2017.
  • Oracle WebLogic WLS Security Component Remote Code Execution (CVE-2017-10271): all’interno di Oracle WebLogic WLS esiste una vulnerabilità legata all’esecuzione di un codice in modalità remota. Ciò è dovuto al modo in cui Oracle WebLogic gestisce i decodificatori xml. Un attacco ben riuscito potrebbe portare a un’esecuzione di codice in modalità remota. La patch è disponibile da ottobre 2017.
  • SQL Injection: consiste nell’inserimento di query SQL, in input, dal client all’applicazione, sfruttando al contempo una vulnerabilità di sicurezza nel software di un’applicazione.

La parola agli esperti

Maya Horowitz, Threat Intelligence Group Manager di Check Point, ha commentato affermando che:

“I criminali informatici, che puntano a sviluppare nuovi vettori d’attacco, tendono a utilizzare vulnerabilità già conosciute, sicuri che le organizzazioni non abbiano ancora adottato misure per affrontarle. Gli hacker sono sempre alla ricerca del modo più semplice per entrare in una rete. Per questo motivo, è preoccupante notare come così tante organizzazioni continuino a subire queste vulnerabilità, nonostante le patch siano disponibili da tempo. Questo fatto sottolinea che gli elementi base della sicurezza, tra cui le patch, sono fondamentali per garantire che le reti rimangano sicure.”

Conclude dicendo che:

“Il cryptomining è una tecnica molto diffusa, che colpisce quasi il 40% delle organizzazioni in tutto il mondo e per questo motivo, gli hacker la considerano molto redditizia. Per impedire che le reti vengano sfruttate per fini di cryptomining e altri tipi di attacchi, è fondamentale che le aziende adottino una strategia di sicurezza informatica multilivello che protegga sia da famiglie di malware già note, sia dalle nuove minacce.”

Questo articolo dimostra come la sicurezza informatica sia un aspetto su cui andrebbe investito parecchio e non andrebbe sottovalutato. Basta un niente per ritrovarsi con un conto bloccato e con i dati completamente trafugati.

Di Marco Nisticò

Sviluppatore informatico, cerco sempre di stare al passo con i tempi in un mondo ormai circondato dalla tecnologia.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.