Il cryptomining sbarca anche sul Microsoft App Store

Microsoft ha rimosso otto applicazioni dal proprio app store per Windows che tramite cryptomining estraevano la criptovaluta Monero senza che gli utenti ne fossero a conoscenza.

cryptojacking

A gennaio i ricercatori di Symantec hanno scoperto applicazioni di cryptomining nel Microsoft App Store che erano state inserite tra aprile e dicembre del 2018. Non è chiaro quanti utenti abbiano scaricato o installato le app, ma queste hanno avuto quasi 1.900 voti da parte degli utenti e non si tratta quindi di un numero di poco conto.

Le applicazioni malevole postate sullo store di Microsoft come browser, motori di ricerca, downloader video YouTube, VPN e tutorial per l’ottimizzazione del computer sono state caricate da tre account sviluppatore chiamati DigiDream, 1clean e Findoo. Tuttavia, i ricercatori di Symantec ritengono che le app siano state create da una singola persona o dallo stesso gruppo di persone poiché condividono lo stesso dominio di origine sul back-end.

“Non appena le app vengono scaricate e avviate, recuperano una libreria JavaScript che genera monete e innesca Google Tag Manager (GTM) nei loro server di dominio”, hanno scritto i ricercatori di Symantec in un report di alcuni giorni fa. “Lo script di data mining viene attivato e inizia a utilizzare la maggior parte dei cicli della CPU del computer per estrarre Monero. Anche se queste applicazioni sembrano fornire delle policy sulla privacy, sull’app store non si fa menzione del coin-mining nelle descrizioni delle singole app.”

adv

Le applicazioni sono state pubblicate come Progressive Web Applications (PWA), un tipo di app che funziona come una pagina web ma che ha anche accesso all’hardware del computer tramite API e può inviare notifiche push, utilizzare la memoria offline e comportarsi come un programma nativo. In Windows 10 queste applicazioni vengono eseguite indipendentemente dal browser in un processo autonomo chiamato WWAHost.exe.

Quando vengono eseguite, le applicazioni richiamano GTM, un servizio legittimo che consente agli sviluppatori di iniettare JavaScript in modo dinamico nelle loro applicazioni. Tutte le applicazioni utilizzano la stessa chiave GTM unica, ulteriore fatto che suggerisce come siano state create dallo stesso sviluppatore. Lo script caricato dalle app è una variante di Coinhive, un miner di criptovaluta basato sul web che è stato utilizzato in passato da diversi aggressori per infettare i siti web e sfruttare le risorse della CPU dei visitatori.

“Abbiamo informato Microsoft e Google sui comportamenti di queste app”, hanno affermato i ricercatori di Symantec. “Microsoft ha rimosso le app dal proprio negozio e anche il codice JavaScript di estrazione è stato rimosso da Google Tag Manager.” Questo incidente mostra per l’ennesima volta che il mining di criptovalute rimane di grande interesse per i criminali informatici. Che si tratti di dirottare i personal computer o i server nei data center, questi aggressori sono sempre alla ricerca di nuovi modi per distribuire coin-miner.

Negli ultimi due anni gli attacchi di coin-mining sono stati lanciati tramite app Android ospitate su Google Play, attraverso estensioni del browser per Google Chrome e Mozilla Firefox, all’interno di normali applicazioni desktop, attraverso siti web compromessi e, ora, persino tramite Windows 10 PWA. Ci sono anche una varietà di botnet che infettano i server Linux e Windows con programmi di mining di criptovaluta sfruttando le vulnerabilità presenti in popolari applicazioni e piattaforme web.

Gli utenti sono continuamente invitati a scaricare solo applicazioni da fonti attendibili sia sui loro dispositivi mobili, sia sui loro computer. Tuttavia, con le app malevole che spesso trovano la loro strada negli app store ufficiali, affidarsi solo a questo consiglio per la protezione lascia ormai il tempo che trova.

Se questo articolo ti è stato utile, e se vuoi mantenerti sempre aggiornato su cosa succede nell’industria ICT e ai suoi protagonisti, iscriviti alle nostre newsletter:

CWI: notizie e approfondimenti per chi acquista, gestisce e utilizza la tecnologia in azienda
CIO:
approfondimenti e tendenze per chi guida la strategia e il personale IT
Channelworld: notizie e numeri per distributori, rivenditori, system integrator, software house e service provider

Iscriviti ora!