Cryptojacking, miner nascosti nei banner di YouTube

Diversi utenti hanno segnalato il blocco di miner da parte dei loro antivirus. Il codice JavaScript in questione, scritto da Coinhive, è stato trovato nelle inserzioni pubblicitarie di YouTube. Qualcuno è riuscito a distribuire i miner browser-based attraverso la piattaforma di advertising DoubleClick dell’azienda di Mountain View.

Il famigerato servizio offerto da Coinhive permette di ottenere profitti dalla generazione di criptovalute Monero che si attiva quando l’utente visita determinati siti web. L’esecuzione del codice JavaScript sfrutta la CPU del computer, provocando un incremento del suo utilizzo e del consumo di corrente. Negli ultimi mesi è aumentato il numero di siti che nascondono il miner nelle pagine. Trend Micro ha rilevato una campagna di malvertising che abusa della piattaforma Google DoubleClick. I paesi più colpiti sono Italia, Francia, Spagna, Giappone e Taiwan.

Il 90% delle inserzioni trovate su YouTube usa il codice di Coinhive, mentre il restante 10% usa un altro miner che evita il pagamento del 30% di commissione a Coinhive. In entrambi i casi, gli script sono programmati per utilizzare l’80% della CPU. In alcuni casi viene visualizzato un banner che invita a scaricare un antivirus. Se l’utente clicca sul pulsante viene installato un malware. Google ha rilasciato la seguente dichiarazione:

Il mining delle criptovalute attraverso le inserzioni pubblicitarie è una forma di abuso che viola le nostre policy e che stiamo attivamente monitorando. Applichiamo le nostre policy attraverso un sistema di rilevamento multilivello su tutte le nostre piattaforme che aggiorniamo non appena emergono nuove minacce. In questo caso, gli annunci sono stati bloccati in meno di due ore e i malintenzionati sono stati rapidamente rimossi dalle nostre piattaforme.

Per bloccare il cryptojacking è necessario disattivare l’esecuzione di codice JavaScript (ad esempio, tramite estensioni del browser), usare un ad blocker o installare un antivirus aggiornato.