Youtube pubblica annunci che minano criptovalute con la CPU degli utenti!
Recentemente è stato scoperto che Yotube utilizzava annunci che drenavano le cpu e elettricità dei visitatori, per poi generare valuta digitale tramite mining per conto di hacker.
La notizia degli annunci abusivi è trapelata martedì scorso dal momento che molti utenti del sito si sono rivolti ai social-media lamentandosi del fatto che i propri antivirus rilevavano i codici di mining di criptovaluta dopo la loro permanenza sul sito.
Anche cambiando il browser di navigazione il risultato non cambiava, questi segnali arrivavano solamente all’apertura di youtube.
Venerdì scorso i ricercatori del fornitore di antivirus Trend Micro hanno dichiarato che, dopo aver analizzato gli annunci, gli è stato possibile rilevare fino a 3 volte più facilmente dei miner.
Gli aggressori stavano abusando della piattaforma pubblicitaria double-click di Google che, alterandone il codice, rendeva visibile agli utenti questi annunci/miner in alcuni paesi tra cui Francia, Giappone, Taiwan, Italia e Spagna.
Javascript e annunci malevoli:
Gli annunci contenevano codice Java script con il compito di estrarre la moneta nota come monero.
In nove casi su dieci, durante la permanenza su YouTube, gli annunci utilizzavano codice Java script pubblicamente distribuito da Coinhive, che consente agli abbonati di fare profitti discapito degli utenti e dei loro computer.
Il restante dieci percento dei casi veniva utilizzato un codice Java script privato. Entrambi gli script sono programmati per consumare l’80 percento della Cpu, lasciando quest’ultima priva di energie.
“Probabilmente youtube è stato preso di mira perché gli utenti sono in genere sul sito per lunghi periodi di tempo.”
Ha dichiarato ad Ars il ricercatore della sicurezza Troy Mursh .
Mursch ha detto inoltre che una campagna pubblicitaria di settembre sul sito web Showtime forniva annunci “miner” di criptovaluta: un altro esempio di aggressori che hanno come target un sito di video.
Per aggiungere la danno alla beffa (o il danno al danno in questo caso!), il codice JavaScript malevolo, almeno in alcuni casi, era accompagnato da elementi grafici che mostravano annunci di programmi AV contraffatti che mettevano in pericolo la sicurezza degli utenti, rubando denaro installando malware quando venivano eseguiti.
Siamo al sicuro?
Trend micro ha dichiarato che la campagna di estrazione dei monero è iniziata il 18 gennaio, un rappresentate di google ha scritto :
“La criptovaluta attraverso gli annunci è una forma relativamente nuova di abuso che viola le nostre politiche e quella che stiamo monitorando attivamente. Applichiamo le nostre politiche attraverso un sistema di rilevamento multilivello su tutte le nostre piattaforme che aggiorniamo non appena emergono nuove minacce. In questo caso, gli annunci sono stati bloccati in meno di due ore e i malintenzionati sono stati rapidamente rimossi dalle nostre piattaforme.“
Questo messaggio non è stato chiaro: per quanto Google affermi che le pubblicità erano state bloccate in meno di due ore, le prove fornite da Trend Micro hanno mostrato vari annunci contenenti sostanzialmente lo stesso codice Java script degli annunci malevoli rimasti online per l’intera settimana.
Poiché il problema del criptomining basato sul Web ha raggiunto proporzioni quasi epidemiche, una varietà di programmi AV ha iniziato a mettere in guardia sugli script di mining ospitati sui siti Web e offre agli utenti la possibilità di bloccare l’attività. Mentre il mining drive-by è un abuso che drena l’elettricità dei visitatori e le risorse informatiche, non c’è indicazione che installi ransomware o altri tipi di malware, a patto che le persone non facciano clic su banner di download dannosi.
