Archivi tag: virus

Quanto costano i tuoi dati sul darkweb (febbraio 2018 – edizione USA)

Preso tradotto e adattato da top10vpn

I truffatori stanno comprando e vendendo le tue informazioni personali rubate sul darkweb e non si tratta solo di dettagli della carta di credito.

Con profili di incontri hackerati, servizi di streaming e persino account di Airbnb in vendita, abbiamo creato l’indice dei prezzi di mercato del mercato nero (US Edition) per monitorare questo traffico illecito.

Ndr. Non credere che da noi sia tanto diverso, comunque, sei su internet “la rete globale” bello.

La tua intera identità online potrebbe valere meno di $ 1,200, secondo una nuovissima ricerca sulla vendita illecita di informazioni personali rubate sul dark web

Anche se non sorprende sapere che i dettagli della carta di credito sono tra i più scambiati, lo sapevate che i truffatori stanno hackerando account Uber, Airbnb e Netflix e li vendono per non meno di $ 10 ciascuno? Tutto ha un prezzo sul dark web.

I conti Paypal con un saldo salutare attirano i prezzi più alti (in media $ 247). All’altro estremo della scala però, gli account Grubhub o Walmart hackerati valgono meno di $ 10. Gli aspiranti truffatori possono facilmente spendere di più per il loro panino all’ora di pranzo piuttosto che per acquistare account di clienti rubati per negozi online come Costco ($ 5) e ASOS ($ 2).

L’utente  medio ha dozzine di account che formano la sua identità online, ognuno dei quali può essere hackerato e venduto. 7

Il nostro team di esperti di sicurezza ha esaminato decine di migliaia di annunci su tre dei più popolari mercati del dark web, Dream, Point e Wall Street Market.

Questi siti web crittografati, che possono essere raggiunti solo utilizzando il browser Tor, consentono ai criminali di vendere anonimamente informazioni personali rubate, insieme a tutti i tipi di contrabbando, come droghe e armi illecite.

Ci siamo concentrati su elenchi con ID rubato, account hackerati e informazioni personali rilevanti per gli Stati Uniti per creare l’indice dei prezzi del mercato web scuro. Abbiamo calcolato i prezzi medi di vendita per ogni articolo e siamo rimasti scioccati nel vedere che $ 1,170 è tutto ciò che costerebbe acquistare l’intera identità di qualcuno se dovessero avere tutti gli articoli elencati.

Per aiutare gli Stati Uniti a capire quanto valgono i loro dati personali abbiamo creato il seguente indice dei prezzi.

I prezzi di vendita spiegati

Personal finance

I dettagli finanziari in bianco sono di gran lunga gli articoli più comunemente elencati, in particolare le carte di credito sono le più preziose. I prezzi di vendita tendono ad essere il 10% del saldo disponibile, tuttavia abbiamo trovato esempi credibili di account Paypal che costavano il doppio, suggerendo un’elevata domanda corrente per questi account.

Un tipo popolare di quotazione è ciò che è noto come “Fullz”. Questi pacchetti di informazioni di identificazione “complete”, a volte sono impacchettati con dettagli finanziari o venduti separatamente. Abbiamo trovato elenchi con il nome delle persone, l’indirizzo di fatturazione, il cognome da nubile della madre, il numero di previdenza sociale, la data di nascita e altri dati personali.

Proof of identity

Una delle  tattiche preferite dai criminali informatici è quella di creare linee di credito nel nome di qualcun altro. Ecco perché vediamo scambiare ogni sorta di prova digitale dell’identità, come scansioni di passaporti, selfie e bollette.

I prezzi elevati riflettono la facilità con cui tali articoli possono essere utilizzati per commettere frodi.

Shopping online

Ci può essere un grande calo nel prezzo, ma i conti degli acquisti online compromessi offrono molte opportunità di frode.

La maggior parte delle gestioni cambia per meno di $ 10, alcuni per molto meno di quello.

Memorizzare i dettagli di pagamento nei conti Amazon o Bestbuy può essere molto conveniente ma lascia i titolari di conti aperti a una serie di truffe, tali frodi ordinano oggetti costosi per poi rivenderli e intascare i contanti.

Anche i conti gestiti da hacker su eBay sono particolarmente allettanti in quanto non solo consentono ai criminali di ingannare gli acquirenti per inviare denaro per inserzioni false, ma anche di acquistare beni costosi con i fondi del proprietario dell’account per intercettare e vendere.

Travel Dispite

Con un prezzo di vendita medio inferiore a $ 8 gli account Airbnb compromessi aprono un mondo di truffe al compratore. Ci sono state segnalazioni di hacker che cambiano i dettagli di pagamento degli host per rubare i loro guadagni.

I truffatori gestiscono anche account di ospiti di alto livello per prenotare soggiorni in proprietà premium e persino svaligiare i padroni di casa. Airbnb ha introdotto nuove misure di sicurezza, ma nei suoi forum della community continuano a essere pubblicate storie dell’orrore.

Ci sono state anche notizie di russi che usano account Uber hackerati, che vendono qui per soli $ 7, per farsi pagare  grandi conti per viaggi Uber che il vero proprietario non ha mai preso , a volte dall’altra parte del mondo. L’accesso ad altri account di viaggio, come Booking.com, offre ai criminali l’opportunità di inviare e-mail fasulle inducendo le persone a effettuare pagamenti di alto valore relativi alle loro modalità di viaggio, oltre a rubare la loro carta di credito.

Entertaining

Come con la maggior parte degli account compromessi che abbiamo trovato in vendita sul Web scuro, questi accessi offrono un percorso verso il potenziale furto di identità. Un ulteriore vantaggio è che i criminali opportunisti possono anche trasmettere i contenuti gratuitamente, almeno fino a quando il vero proprietario non nota che il loro account Netflix o Spotify è stato compromesso. Il basso costo di questi articoli riflette la limitata capacità di riutilizzo.

Communication

Gli account Skypesono stati utilizzati per inviare spam anche quando è stata attivata l’autenticazione a due fattori. I messaggi di spam contengono talvolta collegamenti di phishing a siti popolari come LinkedIn e Baidu.

Gli account di telefonia mobile sono una miniera di opportunità di frode, in particolare dato l’uso di messaggi SMS per la verifica del conto bancario, ad esempio.

Gli accessi di Facebook a $ 5,20 si vendono più cari di altri account di social media a causa del maggior potenziale in grado di fornire sufficienti dati personali per ottenere l’accesso a account più redditizi o commettere furti d’identità.

I ​​selfie e il food porn di Instagram potrebbero non avere alcun valore per i truffatori, ma i conti hacker sulla piattaforma rimangono in vendita, anche se per un dollar. Per un investimento così basso, può essere interessante per i criminali informatici accedere e vedere cosa potrebbero trovare utile per il furto di identità.

Ottenere l’accesso alle e-mail di una vittima è spessol’aspetto critico di una truffa online, anche se non è altrettanto utile come altri account. I dettagli della carta di credito non sono in genere memorizzati lì, mentre la ricerca di migliaia di e-mail in cerca di informazioni personali non è efficiente come altri metodi.

La sicurezza su Gmail, come l’autenticazione a due fattori e gli avvisi di accesso sospetti, spinge il prezzo a solo $ 1 rispetto ad altri fornitori, in quanto l’accesso può essere revocato rapidamente, rendendo inutili i dettagli compromessi.

Food delivery

Sembra che anche i truffatori abbiano fame, hackerando servizi di consegna di cibo come Grubhub per ordinare in modo fraudolento cibo e alcolici costosi. Ci sono rapporti di ordini di quasi $ 180 che vengono incasinati su account hackerati, che vendono per poco più di $ 9 sul dark web.

Dating

Questi tipi di annunci sono usciti con il prezzo medio più basso nel nostro indice, che riflette il loro uso limitato ai criminali. Mentre gli account di appuntamenti piratati potrebbero sicuramente essere usati per “catfishing”, un classico congo in cui il truffatore adotta un’identità fittizia per attirare la vittima in una relazione per trarne vantaggio finanziario, è più economico e più facile creare solo account falsi.

Ovviamente, come con la maggior parte degli articoli nel nostro indice, c’è la possibilità di estrarre l’account per informazioni personali per aiutare con il furto di identità.

La linea di fondo è che gli hacker proveranno a vendere tutto ciò che hanno nella speranza di ricavare qualche valore dalla loro attività criminale.

Metodologia: il nostro team ha esaminato tutte le schede relative alle frodi su tre dei più grandi mercati del dark web, Dream, Point e Mercato di Wall Street dal 5 all’11 febbraio 2018. Gli elenchi pertinenti sono stati raccolti e classificati per calcolare i prezzi medi di vendita. Indice dei prezzi di mercato Web scuro – Feb 2018 – Raw

L’Agenzia per l’Italia Digitale avverte: diffusione di malware attraverso il dominio “documenticertificati.com”

Sicurezza: diffusione di malware attraverso il dominio “documenticertificati.com”

Nella giornata del 13 marzo 2018 si è diffusa una attività malevola di propagazione malware attraverso il dominio “documenticertificati[.]com”, che appare come un sito sicuro identificato da un certificato di sicurezza e con i loghi di AgID e SPID.

ATTENZIONE! Il dominio in oggetto è estraneo alle attività di AgID e/o del circuito SPID.

L’Agenzia per l’Italia Digitale ha pubblicato – di seguito e attraverso il CERT-PA – delle indicazioni per riconoscere l’attività malevola e gli indicatori di compromissione.

Come arriva il malware

Il link al download arriva all’utente finale tramite una email proveniente dall’account “admin[@]documenticertificati[.]com” e veicolata attraverso il servizio “mailjet[.]com”. La mail dal titolo “Consegna documenti per XXXX” riporta nel corpo del messaggio le credenziali per scaricare la finta “pratica”(con XXX personalizzato per il destinatario).

Una volta inserite le credenziali, è proposto in download un file .zip contenente due malware: uno di tipo PE, l’altro JAR.

Riporto di seguito maggiori approfondimenti destinati ai tecnici provenienti dal sito di CERT-PA

(link is external).
Dettaglio News
Attività malevola attraverso il dominio “documenticertificati.com”
13/03/2018
In data odierna il CERT-PA (Computer emergency response team – Pubblica Amministrazione) è venuto a conoscenza di una attività malevola di diffusione malware attraverso il dominio documenticertificati[.]com che agli occhi degli utenti appare come un sito sicuro in quanto autenticato da un certificato di sicurezza e riportante i loghi di AgID e SPID.

È quasi superfluo sottolineare che il dominio in oggetto non ha alcun legame con AgID e/o il circuito SPID.

documenticertificati.it

 

Il link al download arriva all’utente finale tramite una email proveniente dall’account “admin@documenticertificati.com” e veicolata attraverso il servizio “mailjet.com”.

La mail dal titolo “Consegna documenti per XXXX” riporta nel corpo del messaggio le credenziali per scaricare la finta “pratica”. (con XXX personalizzato per il destinatario).

Una volta inserite le credenziali, verrà proposto in download un file .zip contenente due malware: uno di tipo PE, l’altro JAR.

Indicatori di Compromissione

DocumentiCV.exe
MD5: 32afb5d9d3ed93fdaf0cae35063dd53e
URL: https://infosec.cert-pa.it/analyze/32afb5d9d3ed93fdaf0cae35063dd53e.html
STIX: https://infosec.cert-pa.it/analyze/32afb5d9d3ed93fdaf0cae35063dd53e.stix
LettoreDOC.jar
MD5: a76e9730dd08c15ef57919ac62a5d435
URL: https://infosec.cert-pa.it/analyze/a76e9730dd08c15ef57919ac62a5d435.html
STIX: https://infosec.cert-pa.it/analyze/a76e9730dd08c15ef57919ac62a5d435.stix

L’analisi dei sample è in corso, nuovi dettagli verranno forniti nell’apposito bollettino di prossima emissione.

Internet semplice

i termini del web spiegati in modo comprensibile per i non addetti ai lavori

Esistono termini oggi molto usati, spesso a sproposito, dai soliti esperti informatici, ma basta informarsi per comprenderne il corretto significato.

In questo piccolo manuale sono raccolte le definizioni dei principali termini con cui ci si deve confrontare durante la navigazione su internet e le pagine web.

  Trovi su Amazon il libro che ti spiega internet in modo diretto e comprensibile.
 Internet semplice
in versione digitale oppure su carta

Appunto cosa significa web? e internet?

Ognuno dei dodici capitoli è dedicato alla spiegazione di un termine:

Conoscere il significato di queste parole è indispensabile per affrontare con sicurezza il mondo che ci si presenta dall’altra parte dello schermo del nostro computer, tablet o smartphone.

Ogni definizione è raccolta in una scheda che affronta il tema in modo semplice, senza usare termini destinati agli addetti ai lavori.

Come base per questa schede ho raccolto il materiale didattico, ormai ben collaudato, che ho preparato negli anni per i corsi di comunicazione online per adulti e di grafica multimediale per la scuola.

Questi sono i termini affrontati in questi libro

  • Breve storia di internet
  • Come funziona internet
  • Interattività
  • URL e protocolli
  • Nomi a dominio
  • Collegamenti ipertestuali
  • World Wide Web
  • Sito web
  • Virus o malware
  • Blog e come funziona
  • Browser Motori di ricerca
  • Social network

Sono una persona fortunata perchè faccio due lavori che mi piacciono.

Progetto grafica per applicazioni multimediali, quindi posso dare sfogo alla mia creatività. Inoltre insegno ai ragazzi, ma anche alle persone adulte, la teoria e la tecnica del web design. Che è quello che ho fatto per anni di mestiere e che continuo tuttora a fare.

Trasmettere le proprie conoscenze è appassionante, anzi, il confronto con gli studenti dà modo di verificare la padronanza degli argomenti esposti.

Nel mio caso sono argomenti che toccano sia la comunicazione che la creatività. Mi è venuto quindi naturale trasportare le mie lezioni su “carta”, partendo proprio dai concetti base, utili a chiunque desideri approfondire la propria conoscenza di internet e dl web.

“Cosa vuole dire” è forse la domanda che i bambini fanno più di frequente e proprio da semplici definizioni si parte per conoscere il mondo digitale che è nuovo per tanti di noi.

Il sito web Pirate Bay rifila malware ai visitatori

Il sito Web Pirate Bay esegue un miner di criptovaluta a spese nostre

Alcune ore fa un miner di criptovaluta è apparso sul sito Web di The Pirate Bay, utilizzando le risorse informatiche dei visitatori per estrarre le monete Monero.

Gli operatori di The Pirate Bay lo giustificano come un nuovo modo di generare entrate, ma molti utenti non sono contenti. Quattro anni fa molti siti di torrent popolari hanno aggiunto un’opzione per donare tramite Bitcoin. The Pirate Bay è stato uno dei primi a saltare a bordo e ancora elenca il suo indirizzo sul sito web.

Mentre non c’è niente di sbagliato nell’usare Bitcoin come strumento di donazione, l’aggiunta di un miner di criptovaluta Javascript su un sito è di un ordine completamente diverso.

  Trovi su Amazon il manuale per imparare velocemente come realizzare il tuo sito internet.

Il libro contiene anche suggerimenti di web design e un piccolo glossario dei principali termini usati.
 WordPress semplice
in versione digitale oppre su carta

 

Poche ore fa molti utenti di Pirate Bay hanno iniziato a notare che il loro utilizzo della CPU aumentava notevolmente quando navigavano su alcune pagine di Pirate Bay.

Ad un’ispezione più ravvicinata, questo picco sembra essere stato causato da un minatore Bitcoin incorporato nel sito. Il codice in questione è nascosto nel footer del sito e utilizza un minatore fornito da Coinhive.

Questo servizio offre ai proprietari del sito l’opzione di convertire la potenza della CPU degli utenti in monete Monero. Sembra che il minatore aumenti un po ‘l’utilizzo della CPU.

È rallentato a ritmi diversi (abbiamo visto sia lo 0.6 che lo 0.8), ma l’aumento delle risorse è immediatamente evidente. Il miner non è abilitato in tutto il sito. Quando abbiamo controllato, è apparso nei risultati di ricerca e negli elenchi di categorie, ma non nella home page o nelle singole pagine torrent.

Non c’è stato alcun commento ufficiale da parte degli operatori del sito sul problema , ma molti utenti si sono lamentati di questo. Nei forum ufficiali del sito, il supermoderatore TP di Sid non è chiaramente d’accordo con l’ultima aggiunta del sito.

“Questo è davvero serio, quindi speriamo di poter intervenire rapidamente. E forse ottenere un po ‘di attenzione per il caricamento e commentare i bug mentre ci sono, “scrive Sid.

Come molti altri, sottolinea anche che il blocco o la disabilitazione di Javascript può fermare l’estrazione automatica.

Questo può essere fatto tramite le impostazioni del browser o tramite i componenti aggiuntivi di script blocker come NoScript e ScriptBlock.

In alternativa, le persone possono bloccare l’URL minatore con u spftware per il blocco di annunci.

Il minatore è uno strumento nuovo e permanente, o forse innescato da un inserzionista, è sconosciuto al punto.

Aggiornamento  di Pirate Bay: ci è stato detto che il minatore è stato testato per un breve periodo (~ 24 ore) come un nuovo modo per generare entrate.

Questo potrebbe alla fine sostituire gli annunci sul sito.

Altre informazioni potrebbero essere rivelate in seguito. Aggiornamento: gli operatori hanno pubblicato anche una dichiarazione sul sito. “Come forse avrai notato, stiamo testando un minatore di javascript Monero. Questo è solo un test. Vogliamo davvero sbarazzarci di tutte le pubblicità. Ma abbiamo anche bisogno di denaro sufficiente per mantenere attivo il sito.

 Vuoi pubblicità o vuoi regalare alcuni dei tuoi cicli di CPU ogni volta che visiti il ​​sito? Ovviamente il mining può essere bloccato da un normale ad-blocker.

Nota: Inizialmente c’era un piccolo errore di battitura in modo da utilizzare tutta la CPU per un client. Questo dovrebbe essere corretto ora, quindi dovrebbe essere utilizzato solo il 20-30%. Inoltre è limitato a essere eseguito in una sola scheda.

Darknet: il mercato della droga a chilometri zero

 

 

Ancora notizie da darknet e lo spaccio di droga che aggiungono informazioni al report sul tema pubblicato  pochi giorni fa. Leggi anche: Chi vende droga sulla darknet

Platform Criminalism: La geografia “Last-Mile” della catena di fornitura del mercato Darknet Martin Dittus, Joss Wright, Mark Graham 

Traduco alcuni passi e riporto il link di download:

La recente crescita di i mercati darknet indica una lenta riorganizzazione del traffico illecito di droga?

Dove sono i mercati darknet situati nella filiera globale della droga? In linea di principio, queste piattaforme consentono ai produttori di vendere direttamente agli utenti finali, evitando le tradizionali rotte del traffico.

Eppure, ci sono prove che molte offerte provengono da un piccolo numero di paesi consumatori altamente attivi, piuttosto che da paesi che sono principalmente noti per la produzione di droga. In uno studio empirico su larga scala, determiniamo la geografia del trading darknet di tre farmaci a base vegetale in quattro dei più grandi mercati darknet, e la confrontiamo con l’impronta globale della produzione e del consumo di questi farmaci.

Si presenta una forte evidenza che i venditori di cannabis e cocaina si trovano principalmente in un piccolo numero di paesi consumatori, piuttosto che in paesi produttori, suggerendo che il trading darknet avviene nell’ultimo miglio, lasciando probabilmente intatte le vecchie rotte del traffico.

Un modello per spiegare i volumi di scambio di oppiacei è inconcludente. Non siamo in grado di trovare prove per importanti offerte sul versante della produzione in nessuno dei tipi di droga o dei mercati. Le nostre prove suggeriscono inoltre che la geografia delle transazioni del mercato darknet è principalmente guidata dalla domanda dei consumatori esistenti, piuttosto che dalla nuova domanda promossa dai singoli.

Anticipiamo le conclusioni dello studio

I mercati darknet stanno lentamente riorganizzando il commercio globale di droga? In uno studio empirico su larga scala, abbiamo determinato la geografia del trading su darknet di tre farmaci a base vegetale nei maggiori mercati, e la confrontiamo con l’impronta globale della produzione e del consumo di questi farmaci.

Questo è il primo studio per analizzare la geografia economica dei mercati darknet in modo empirico così completo, e le nostre scoperte ci permettono di trarre nuove conclusioni sulla natura della catena di approvvigionamento sottostante. Non siamo in grado di trovare prove per importanti offerte sul versante della produzione in nessuno dei tipi di droga o dei mercati.

Al contrario, presentiamo una forte evidenza che i venditori di cannabis e cocaina si trovano principalmente in un piccolo numero di paesi consumatori altamente attivi, suggerendo che i mercati darknet occupano principalmente il ruolo dei rivenditori locali che servono l’ultimo miglio per alcune regioni.

Questo probabilmente lascia intatte le vecchie relazioni con i produttori e le rotte di traffico. In confronto, un modello per spiegare i volumi di scambio di oppiacei è inconcludente. Le nostre scoperte suggeriscono inoltre che la geografia delle transazioni sul mercato darknet è principalmente guidata dalla domanda dei consumatori esistenti, piuttosto che dalla nuova domanda promossa dai singoli mercati.

Proponiamo che questo presenti un contributo teorico che aiuti a caratterizzare la geografia economica dei mercati darknet con nuove specificità. Il nostro studio fornisce nuove prove che aiutano a situare queste piattaforme all’interno delle reti di produzione globali del commercio di droghe illecite.

Google lancia Chronicle, compagnia specializzata in cybersecurity

tratto, tradotto ed adattato da Business insider

La casa madre di Google ha appena annunciato un nuovo progetto per dare al mondo digitale un sistema immunitario.

Il team di ricerca e sviluppo gestito da Google la compagnia madre Alphabet, ha annunciato oggi una nuova società indipendente chiamata Chronicle. Chronicle spera di prevedere e deviare “attacchi informatici prima che si infiltrino nella rete di un’organizzazione”.

Chronicle sta già assumendo e le aziende stanno utilizzando la piattaforma come primi tester per fornire feedback.

“X” di Alphabet, il team di ricerca e sviluppo fondato da Google per sviluppare soluzioni che affrontano questioni globali, vuole aiutare i team di sicurezza a prevenire gli attacchi informatici prima che debbano affrontare le ripercussioni.

X è orgoglioso di affrontare problemi su larga scala come la sicurezza del traffico creando nuove tecnologie che fanno di più che costruire semplicemente su strumenti esistenti. Ora, sta assumendo il crimine informatico come sua prossima missione con una nuova società indipendente chiamata Chronicle, che l’amministratore delegato Stephen Gillett ha annunciato tramite un post media mercoledì mattina.

“La realtà per la maggior parte delle aziende oggi quando si parla di sicurezza informatica è reattiva: trova e ripulisci il danno: la vera sfera di cristallo da realizzare, che è ancora lontana diversi anni, predice e devia gli attacchi informatici prima che si infiltrino nella rete di un’organizzazione”, Astro Teller, leader di X, ha detto in un post Media separato.

L’annuncio di Gillett è andato in dettaglio su come Chronicle intende rendere quella luna piena una realtà. “X, la fabbrica della dfera di cristallo, è stata la nostra casa per gli ultimi due anni, infine abbiamo capito dove potevamo avere il maggiore impatto su questo enorme problema.

Ora siamo pronti a svelare la nostra nuova compagnia, che avrà due parti: una nuova piattaforma di intelligence e analisi della sicurezza informatica che speriamo possa aiutare le imprese a gestire e comprendere meglio i propri dati relativi alla sicurezza e VirusTotal, un servizio di intelligence malware acquisito da Google nel 2012 che continuerà a funzionare come negli ultimi anni.

” Le funzionalità di ricerca e di apprendimento automatico della piattaforma mirano a ridurre le migliaia di minacce alla sicurezza digitale attualmente contrassegnate a causa di tutti gli strumenti utilizzati per il rilevamento.

Invece, le aziende avranno una comprensione più chiara dello stato attuale della sicurezza. Inoltre, la piattaforma ridurrà tempi e costi dal momento che viene costruita sulla stessa infrastruttura che consente agli altri progetti di Alphabet la quantità di storage e potenza di elaborazione richiesta. Secondo il post medio di Gillett, il progetto sta andando avanti rapidamente.

Chronicle sta già assumendo e le aziende stanno utilizzando la piattaforma come primi tester per fornire feedback. “Ci auguriamo che rendendo questo mix di tecnologie disponibile per più aziende a prezzi accessibili, possiamo dare un vantaggio ai” bravi ragazzi “e aiutarci a invertire la tendenza contro il crimine informatico”.

WordPress fa del tuo computer uno schiavo segreto degli hacker

Durante l’ultimo mese, i media per la sicurezza delle informazioni hanno prestato molta attenzione al malware di criptovaluta. Stiamo iniziando a vedere attacchi che tentano di caricare malware di data mining e di pulizia dei siti che sono già infetti.

Questo articolo spiega cos’è il mining di criptovaluta, come verificare se hai questo problema e cosa fare al riguardo.

Attacchi minerari di criptovaluta su WordPress

Per quelli di voi che non lo sanno possiamo dire che le criptovalute sono valute digitali che possono fungere da alternativa alle valute tradizionali. Gli esempi includono Bitcoin, Litecoin, Ethereum e Monero, tra molti altri.

Il mining di criptovaluta è una serie di elaborate operazioni fatte da computer che contribuisce alle operazioni della rete di criptovaluta mentre soprattutto genera nuova valuta a vantaggio di chi lo gestisce.

Ci vuole una grande quantità di risorse informatiche per generare entrate significative. Le persone interessate al mining di criptovalute devono generalmente investire in costose attrezzature e risolvere il consumo energetico e il calore generato dall’hardware.

Di recente sono emerse piattaforme online che consentono ai proprietari di siti Web di sfruttare la potenza di calcolo dei visitatori del loro sito Web per creare la criptovaluta con operazioni di mining non dichiarate e fatte svolgere a danno dei visitatori.

I proprietari di siti web registrano semplicemente un account magari per scaricare un software gratuitamente e così facendo aggiungono JavaScript al loro sito. Il rovescio della medaglia è che le loro risorse informatiche vengono poi sfruttate. È molto discutibile pensare che i visitatori del sito web pirata vedranno questa pratica in modo favorevole, ma sarà interessante osservarne l’evoluzione.

Abbiamo visto il primo attacco su un sito WordPress che tentava di incorporare il codice di mining di criptovaluta il 17 settembre. Il volume di attacchi è stato finora molto basso e poco sofisticato.

Gli attacchi finora  analizzati stanno tutti tentando di sfruttare le vulnerabilità di sicurezza note che esistono da molto tempo, quindi un sito ben aggiornato dovrebbe essre meno vulnerabile.

Abbiamo anche visto alcuni tentativi di inserire codice di mining utilizzando account di amministratore di WordPress compromessi, nonché alcuni attacchi che utilizzano account FTP compromessi, quindi attenti al phishing.

Come gli hacker traggono profitto dal malware di minig di criptovaluta

Gli hacker stanno incorporando il codice Javascript maligno sui siti Web che hanno compromesso. Per esempio il malware Coinhive fornisce un modo per estrarre una criptovaluta nota come Monero. Monero si differenzia da altre criptovalute come Bitcoin, in quanto non consente ai miners che utilizzano GPU o altri hardware specializzati un vantaggio computazionale significativo.

Ciò significa che è adatto per l’uso nei browser Web, eseguendo come JavaScript su CPU consumer, quindi è un attacco che mira all’utilizzatore non professionale del web, attenzione.

I proprietari dei siti che inseriscono il codice Coinhive sui propri siti Web guadagnano Monero perchè il malware Coinhive utilizza le risorse computazionali dei visitatori del sito per estrarre Monero.

Un utente malintenzionato può inserire il codice Coinhive su migliaia di siti Web e guadagnare Monero dall’attività di mining che avviene nei browser dei visitatori deli siti che ha infettato.

Ricerche recenti hanno concluso che un utente malintenzionato in grado di raggiungere una media di 1.000 utenti simultanei in tutti i siti infetti genererebbe 2.398 dollari di entrate mensili.

Pensiamo che questi attacchi cresceranno in numero molto rapidamente, data la loro redditività. Gli attacchi che tentano di incorporare malware crittografici sono attualmente poco sofisticati, ma ci aspettiamo di vedere un aumento della sofisticazione degli attacchi quando si scoprirà che questa è un’impresa redditizia.

Prevediamo inoltre che questi attacchi siano indirizzati a siti Web con traffico più elevato, dal momento che il potenziale di profitto aumenta notevolmente con un numero maggiore di visitatori di siti concorrenti.

Come verificare se il tuo sito è infetto da malware di minigdi criptovaluta

Fai sempre attenzione se molti dei tuoi visitatori iniziano a riportare scarso rendimento dal loro browser o computer mentre visitano il tuo sito.

Oppure registri rallentamenti o strani malfunzionamenti. Alcuni hacker hanno modificato le impostazioni del miners in modo che utilizzi solo una parte della potenza della CPU disponibile, o in modo che sia possibile eseguire solo un’istanza dello script minatore alla volta (anche se è aperta in più schede).

Però molti malware di mining sono ancora impostati per utilizzare il 100% delle risorse disponibili, quindi un forte calo delle prestazioni può essere un allarme.

Cambiamenti nei modelli di business degli attaccanti

Nuovi modelli di business stanno emergendo costantemente per gli aggressori. Storicamente, gli aggressori hanno utilizzato siti Web compromessi per generare contenuti di spam o e-mail spam.

Nell’ultimo decennio, il virus ransomware ha guadagnato popolarità tra gli aggressori, in quanto consente loro di estorcere denaro alle vittime.

Più recentemente, l’utilizzo di risorse computazionali rubate per la criptovaluta è emerso come un modo per hackers di trarre profitto da sistemi compromessi.

Questo modello di business emergente si è fatto strada nell’ecosistema WordPress come un modo per gli aggressori di trarre profitto da siti web WordPress compromessi e dalle risorse dei pc di proprietà dei visitatori del sito web.

È imperativo che i proprietari dei siti WordPress attivino un firewall ed effettuino una scansione malware sui loro siti per rilevare rapidamente questa nuova minaccia per garantire che le risorse dei loro visitatori non vengano dirottate sulla produzione di criptovaluta per “conto terzi”  a favore di  criminali.

Cosa fare se il tuo sito è infetto da malware di minig di criptovaluta

Ovviamente hai fatto copie di backup che ti consigliamo sempre di tenere aggiornate. Dopodichè esistono plugin come  Anti Malware Security and Brute Force Firewall che possono anlizzare il tuo sito.

Inoltre Google stessa provvedreà ad avvisarti dell’infezione suggerendoti posssibili rimedi, via email o attraverso Search Console, poi starà a te pulire i file infetti oppure utilizzare una copia di backup recente.

Attento comunque è in arrivo una penalizzazione per i siti infettati che avrà un impatto su circa il 5% delle query (a seconda della lingua).

Google ci sta dicendo che NON si limiterà ad inserire un “link di avvertimento” all’interno degli snippet delle SERP, ma potrebbe decidere di eliminare dai risultati di ricerca le pagine colpite da hacked spam.