I miner di criptovaluta sbarcano sul Microsoft Store per la prima volta

E' stato individuato sul Microsoft Store un gruppo di 8 applicazioni potenzialmente indesiderate (PUA), responsabili del download sul dispositivo degli script dannosi per il mining di criptovaluta Coinhive Monero (XMR). Sfruttano, per la diffusione, la libreria legittima Google Tag Manager (GTM).  I fatti interessanti relativi a queste individuazioni sono due: 

• è la prima volta che vengono riscontrati miner di criptovaluta illegittimi sul Microsoft Store;
• GTM è un sistema di gestione dei tag progettato da Google per aiutare gli sviluppatori a inserire contenuti KJavascript e HTML nelle proprie app a scopo di analisi e monitoraggio ed è la prima volta che il sistema viene invece usato per distribuire script dannosi di questo tipo.

Le app compromesse (e già rimosse da Microsoft) sono:

1. Fast-search Lite
2. Battery Optimizer (Tutorials)
3. VPN Browser+
4. Downloader for YouTub Videos
5. Clean Master+ (Tutorials)
6. FastTube
7. Findoo Browser 2019
8. Findoo Mobile & Desktop Search. 

Tutte queste app sono accomunate dal fatto di essere state sviluppate dagli stessi tre sviluppatori: DigiDream, 1clean, Findoofrom.  Stando al report inviato da Symantec a Microsoft, quindi diramato online, tutte le app dannose sono state individuate su Windows 10, compreso Windows 10 S Mode  e sono state aggiunte al Microsoft Store tra Aprile e Dicembre 2018. 

Non è dato sapere quante siano state le installazioni di queste app dato che Microsoft Store, contrariamente al Play Store di Google, non condivide pubblicamente questo tipo di informazioni: queste app avevano però un gran numero di valutazioni, cosa che fa pensare che le installazioni siano state numerose (a meno che non si stia parlando di flase valutazioni, tecnica molto usata dai truffatori per dare un'aurea di legittimità alle proprie app dannose). 

Come veniva sfruttato il Google Tag Manager?

Queste app avevano tutte lo stesso funzionamento: non appena scaricate ed eseguite recuperavano una libreria JavaScript per il mining di criptovaluta tramite l'attivazione di Google Tag Manager (TGM) nei propri server. Lo script per il mining veniva quindi attivato e iniziava a sfruttare la quasi totalità delle risorse della CPU per estrarre Monero in favore dei suoi operatori. 

Ricordiamo che, di per sè, i miner di criptovaluta non sono vietati: in origine erano infatti stati pensati come sistema di guadagno aggiunto/sostitutivo ai pop up pubblicitari per sviluppatori/web master.  Il loro uso illegale e truffaldino è cresciuto però ben più che esponenzialmente rispetto al loro uso legale, non solo tramite attivazioni all'insaputa dell'utente, ma anche con un sovrautilizzo di risorse che ha spesso prodotto guasti o comunque danneggiato le perfomance e la componente hardware dei vari dispositivi. Questo è stato causa di un'insofferenza sempre maggiore da parte degli utenti a tali sistemi di mining, fino al divieto su svariati store online della loro presenza e distribuzione. In questo caso specifico, in ogni caso, non era stata fornita nessuna indicazione della presenza del Javascript di CoinHive né, tanto meno, era stato denunciato il mining di Monero nelle policy privacy. 

L'analisi del traffico tra queste app e i relativi server di comando e controllo ha permesso di scoprire che questi sfruttavano una variante dello script Javascript-based CoinHive, uno strumento ben noto e utilizzato nelle campagne di cryptojacking fin dal Settembre 2017. 

Cryptojacking is on the rise

Da più fonti di ricerca, è emerso come nel 2018 i miner di criptovaluta hanno colpito un numero di aziende maggiore di dieci volte rispetto alle infezione da ransomware, dati che hanno portato i miner sul podio delle minacce informatiche. Pochissimi invece (1 su 5 indicano i dati) sarebbero stati i professionisti capaci di individuare infezioni di questo tipo nei sistemi aziendali infetti (dato non sorprendente, considerando appunto che gli script per il mining  di criptovaluta  vengono eseguiti silenziosamente in background.

Se per Microsoft Store questa è stata la prima volta, gli utenti del Google Play Store hanno fatto i conti con questi script prestissimo tanto da portare Google a vietare le app dedicate a questa attività. Gli utenti Linux sono anch'essi bersagliati da tempo da svariate campagne di cryptojacking: solo lo scorso mese sono stati individuati:

• una backdoor chiamata SpeakUP che colpisce i server che eseguono sei diverse distribuzioni Linux e perfino i macOS;
• un nuova nuova versione di malware per il mining che usa il miner XMR-Stak per estrarre la criptovaluta Cryptonight. 

I ricercatori di Palo Alto Network, dell'Universitad Carlos III di Madrid e del King's College di Londra sono giunti tutti, in diversi studi, alla styessa conclusione:  parlando solo della criptovaluta Monero i cyber criminali hanno guadagnato circa 798,613.33 Monero, pari a circa 108 milioni di dollari USA.