Miner di criptovaluta - Uno studio di Quick Heal Security Lab
Criptovalute come Bitcoin, Monero, Ethereum, Litecoin e Tezos sono in piena crescita. E hanno incrementato in modo esponenziale le attività di mining criptovalute (o cripto mining). In precedenza, la crittografia è stata eseguita da hardware di data mining potenti e dedicati o utilizzando l'elaborazione distribuita, a causa del fatto che l'intero processo richiede molto potenziale di calcolo. Tuttavia, c'è stato un cambiamento osservabile nelle tendenze del mining. Ora i browser Web partecipano all'estrazione e questa sua attività è in crescita perché la potenza di calcolo utilizzata nel browser mining è molto inferiore a quella richiesta nel mining da hardware. L'uso dei browser Web per estrarre la criptovaluta viene definito In-browser Cryptojacking.
I Quick Heal Security Labs hanno eseguito una approfondita analisi su siti web molto popolare che sono stati compromessi col servizio di mining CoinHive.
Che cosa è CoinHive?
CoinHive è un servizio di browser mining che offre la possibilità di estrarre Monero tramite un miner javascript. Può facilmente essere integrato in un siti web: quando un utente accede al sito web compromesso da CoinHive, il servizio si attiva nel browser cominciando l'estrazuione di Monero.
Sospettiamo che svariate aziende utilizzino questi servizi di mining, integrando appunto parti di Javascript nel codice del proprio sito web al fine di sfruttare la potenza di calcolo della CPU dei clienti/visitatori per minare Monero. CoinHive in cambio paga una certa percentuale ai proprietari dei siti web.
La nostra analisi
Abbiamo ricevuto notizia che uno dei servizi proxy del famosissimo motore di ricerca di file torrent chiamato PirateBay aveva subito l'iniezione del servizio di mining CoinHive. La figura sottostante mostra il contenuto iniettato nella pagina web Pirate Bay.
Quick Heal Security Labs si è imbattuto in alcuni siti Web popolari che sono stati compromessi con il servizio di mining del browser di Coinhive.
Coinhive è un servizio di mining del browser che offre un minatore Javascript per la blockchain 'Monero'. Può essere facilmente incorporato in un sito Web. Quando gli utenti accedono a un sito Web di Coinhive, il servizio minatore viene eseguito nel browser Web e avvia l'estrazione di Monero XMR.
Sospettiamo che molte aziende utilizzino questo servizio di mining del browser integrando un codice JavaScript nel loro sito Web che consuma il tempo e l'energia del CPU dei visitatori per estrarre XMR (Monero) per Coinhive. Coinhive, in cambio, paga una percentuale del valore estratto al proprietario del sito web.
La nostra analisi
Al Quick Heal Security Labs, abbiamo notato che uno dei servizi proxy di un famoso motore di ricerca torrent chiamato Pirate Bay è stato iniettato con il servizio minatore Coinhive. La Fig. 1 mostra il contenuto iniettato nella pagina web di Pirate Bay.

In base alle informazioni ufficiali di Coinhive, "OT1CIcpkIOCO7yVMxcJiqmSWoDWOri06" è la chiave del sito utente e il throttle viene utilizzato per limitare l'utilizzo della CPU. Di seguito sono riportati i livelli di throttle.
throttle: 0 - Limite di utilizzo della CPU al 100%
throttle: 0.3 - Limite di utilizzo della CPU all'80%
throttle: 0.5 - Limite di utilizzo della CPU al 50% -70%
Dopo aver effettuato l'accesso al sito di Pirate Bay, CoinHive.min.js viene eseguito e avvia l'estrazione. L'utilizzo della CPU raggiunge il limite in base al livello di accelerazione definito. In alcuni siti Web, è definito come 0.5, in questo caso richiederà il 50% -70% del potere di calcolo. La Fig 2 mostra l'attività di utilizzo della CPU del browser e del sistema generale osservati dopo l'accesso al sito Web di Pirate Bay.

Questa attività di mining non è malevola, ma è in esecuzione senza l'approvazione del proprietario del sistema e consuma la potenza della CPU, che a sua volta rallenta le prestazioni del sistema. Questo disturba l'utente e ostacola il lavoro in modo significativo.
Il rilevamento di Quickheal
- Quick Heal ha rilasciato criteri di rilevamento generici per individuare attacchi di tipo "Cryptojacking" nel browser.
- Questi rilevamenti generici, nei nostri prodotti, si estendono atraverso più livelli di sicurezza.
Quick Heal ha bloccato con successo l'attività di mining di Coinhive. Di seguito è riportata la tendenza osservata nelle ultime settimane.

Il mining in-browser è, per i proprietari di siti Web e per i fornitori di servizi di estrazione, davvero un modo semplice per generare entrate. Oltre a Coinhive, vi prendono parte anche altri fornitori di servizi come JSEcoin, MineMyTraffic, CryptoLoot e CoinNebula. Il mining in-browser non è un'attività dannosa, ma l'estrazione non autorizzata e l'uso intensivo della CPU non dovrebbero essere consentiti. Inoltre, compromettere un sito Web popolare potrebbe intralciare molti utenti.
Consigliamo ai nostri utenti di evitare la navigazione in siti Web sospetti e di tenere aggiornato il loro antivirus per impedire che il sistema venga utilizzato in attività di mining.