Minacce

Cryptojacking cos’è e come funziona 

Il cryptojacking è una crescente minaccia informatica che sfrutta la potenza di calcolo di un dispositivo per minare criptovalute senza il consenso dell'utente. Questo tipo di malware può rallentare il sistema, aumentare i consumi energetici e ridurre la durata dei dispositivi. Gli attacchi di cryptojacking sono difficili da individuare poiché non danneggiano direttamente i file o i sistemi, ma utilizzano la CPU per generare profitti illeciti. I dispositivi colpiti, come computer, smartphone e tablet, vengono infettati tramite codice JavaScript su pagine web compromesse o applicazioni dannose.

Mondo della sicurezza informatica

7 Febbraio 2025

Indice dei contenuti

  • Cos’è il cryptojacking? 
  • Cryptojacking: come funziona? 
  • Come riconoscere un attacco di cryptojacking? 
  • Perché è così diffuso?
  • Come proteggersi dal cryptojacking 
  • Quanto è pericoloso? 

Il cryptojacking è una minaccia in crescita nel mondo della sicurezza informatica. Si tratta di un tipo di malware che utilizza la potenza di calcolo di un dispositivo, senza il consenso dell’utente, per generare criptovaluta. Questo attacco, spesso invisibile, può rallentare il sistema, aumentare i consumi energetici e compromettere la durata dei dispositivi. 

In questo articolo spiegheremo cos’è, come funziona e come proteggersi da questa insidiosa minaccia. 

Cos’è il cryptojacking? 

Il cryptojacking è un tipo di malware che permette a criminali informatici di sfruttare le risorse del computer di ignari utenti per estrarre criptovaluta come Bitcoin, Ethereum o Monero. 

A differenza di altre minacce informatiche, il cryptojacking può rimanere nascosto per lungo tempo poiché non danneggia direttamente file o sistemi. L’obiettivo principale è l’utilizzo della CPU per ottenere profitti illeciti. 

In pratica, un attacco di cryptojacking può infettare qualsiasi dispositivo: dai computer desktop ai dispositivi mobili come smartphone e tablet. Questo avviene spesso attraverso codice JavaScript caricato in una pagina web compromessa o tramite applicazioni malevole. 

Cryptojacking: come funziona? 

Il cryptojacking sfrutta la potenza di calcolo dei dispositivi delle vittime per generare criptovaluta, senza che l’utente ne sia consapevole. Esistono principalmente due modalità con cui viene effettuato: il malware locale e il cryptojacking drive-by, ma entrambe condividono lo stesso obiettivo: utilizzare le risorse del computer della vittima per estrarre criptovaluta. Vediamo in dettaglio come funzionano queste tecniche e quali sono le loro implicazioni. 

Malware locale: l’attacco diretto 

Il metodo più tradizionale e invasivo consiste nell’infettare un dispositivo con un codice di cryptomining dannoso. Questo può avvenire in diversi modi: 

  • Email di phishing
    Le email truffa sono uno dei veicoli principali di distribuzione del codice di cryptojacking. Un utente riceve un’email apparentemente innocua con un allegato o un link malevolo. Cliccando sul link, si scarica e installa il codice, che inizia a estrarre criptovaluta in background. 
  • Software contraffatti
    Alcuni attacchi di cryptojacking si verificano quando l’utente scarica un software apparentemente legittimo ma che contiene un malware nascosto. Questo è spesso il caso di software piratati, app gratuite da fonti non ufficiali o plug-in falsi per browser. 
  • Download invisibili (drive-by-download)
    L’infezione può avvenire anche senza un’azione attiva dell’utente. Visitando un sito web compromesso, il codice dannoso si scarica automaticamente sul dispositivo. Una volta installato, il malware sfrutta l’utilizzo della CPU per il cryptomining costante e silenzioso. 

Una volta infettato, il codice di cryptomining funziona in background e sfrutta costantemente le risorse del computer per generare criptovaluta. Poiché queste attività sono progettate per restare nascoste, l’utente potrebbe non accorgersi immediatamente dell’infezione.

Tuttavia, ci sono alcuni sintomi riconoscibili, come il rallentamento del sistema, il surriscaldamento e un consumo anomalo di energia elettrica. 

Cryptojacking drive-by: l’infezione via browser 

Un altro metodo molto diffuso è il cosiddetto cryptojacking drive-by, che non richiede di scaricare malware sul dispositivo. In questo caso, il codice dannoso viene inserito in una pagina web e sfrutta il browser web dell’utente per estrarre criptovaluta

Come funziona nel dettaglio? 

  • Codice JavaScript nascosto
    Il cybercriminale incorpora un codice JavaScript di cryptomining all’interno di un sito web o in un annuncio pubblicitario. Quando l’utente visita la pagina web, il codice viene eseguito automaticamente nel browser e inizia a sfruttare la CPU del dispositivo. 
  • Persistenza silenziosa
    Mentre il cryptojacking drive-by può interrompersi quando l’utente chiude il browser, alcune tecniche avanzate riescono a far persistere il codice.

Esempio
Una finestra pop-under nascosta può rimanere aperta anche dopo aver chiuso tutte le schede visibili, continuando a estrarre criptovaluta

  • Rete di dispositivi mobili
    Anche i dispositivi mobili, come smartphone e tablet, possono essere colpiti dal cryptojacking via browser. In alcuni casi, attacchi di questo tipo possono surriscaldare il dispositivo, danneggiare la batteria e rallentare drasticamente le prestazioni. 

Un esempio noto di cryptojacking drive-by è stato Coinhive, uno script JavaScript che permetteva di fare mining di Monero direttamente nel browser. Sebbene Coinhive fosse stato inizialmente progettato come uno strumento legittimo per monetizzare i contenuti online, è stato rapidamente sfruttato da cybercriminali per attacchi di cryptojacking non autorizzati. 

Differenze tra malware locale e cryptojacking drive-by 

Pur condividendo lo stesso scopo, le due modalità di attacco presentano alcune differenze chiave: 

  • Malware locale
    • richiede un’installazione sul dispositivo;
    • funziona anche offline;
    • difficile da rilevare e rimuovere.
  • Cryptojacking drive-by
    • non richiede installazione;
    • dipende dalla navigazione sul browser web;
    • si interrompe chiudendo la pagina, salvo persistenza del codice. 

Entrambi i metodi, però, sfruttano le risorse del computer per eseguire calcoli complessi necessari a estrarre criptovaluta. Nel caso di attacchi su larga scala, dove vengono colpiti contemporaneamente molti dispositivi, il guadagno per i cybercriminali può essere significativo. 

Perché è così efficace? 

Il successo del cryptojacking deriva da alcune caratteristiche uniche: 

  • Difficoltà di rilevamento
    Poiché non danneggia direttamente file o dati, il cryptojacking può passare inosservato per lunghi periodi. 
  • Costi bassi per gli hacker
    A differenza del mining di criptovaluta tradizionale, il cryptojacking non richiede investimenti in hardware costoso. Gli hacker sfruttano semplicemente la potenza di calcolo delle vittime. 
  • Profitti continui
    Finché il codice malevolo è attivo, gli hacker possono generare criptovaluta in modo continuo e automatico. 
  • Ampia diffusione
    Poiché il codice JavaScript può essere distribuito facilmente attraverso pagine web compromesse o annunci pubblicitari, il cryptojacking può raggiungere un numero elevato di utenti in breve tempo. 

Inoltre, con l’aumento del valore delle criptovalute come Monero, Bitcoin ed Ethereum, il cryptojacking è diventato un metodo estremamente redditizio per i cybercriminali. 

Un attacco cryptojacking

Come riconoscere un attacco di cryptojacking? 

Anche se il cryptojacking può rimanere nascosto, esistono alcuni segnali che aiutano a identificarlo: 

  • Rallentamento del dispositivo
    L’uso intensivo della CPU provoca cali di prestazioni. 
  • Surriscaldamento e rumore delle ventole
    L’aumento del carico di lavoro causa un eccessivo utilizzo del sistema di raffreddamento. 
  • Consumo energetico anomalo
    Dispositivi mobili con batterie che si scaricano velocemente potrebbero essere vittime di cryptojacking. 

Perché è così diffuso?

Il cryptojacking è diventato popolare perché è un metodo silenzioso e a basso rischio per ottenere criptovalute. A differenza di altri tipi di attacchi, come i ransomware, che richiedono un’interazione diretta con la vittima, il cryptojacking non ha bisogno di chiedere un riscatto.

Basta installare il codice malevolo e iniziare a sfruttare le risorse del computer per estrarre criptovaluta

Inoltre, con l’aumento del valore delle criptovalute e la crescente difficoltà di estrarle tramite metodi tradizionali, il cryptojacking è diventato una soluzione “economica” per i cybercriminali. 

Come proteggersi dal cryptojacking 

La protezione dal cryptojacking richiede una combinazione di buone pratiche e strumenti di sicurezza informatica. Ecco alcuni consigli per evitare questo tipo di attacco: 

  • Installa software di sicurezza aggiornato
    Antivirus e antimalware possono rilevare e bloccare codice di cryptomining dannoso. 
  • Blocca JavaScript
    Strumenti come “No Coin” o “MinerBlock” possono impedire l’esecuzione di script nei browser web
  • Controlla l’utilizzo della CPU
    Monitora le prestazioni del dispositivo per identificare eventuali anomalie. 
  • Aggiorna regolarmente il sistema operativo e il browser per proteggerti da vulnerabilità sfruttabili. 
  • Evita siti sospetti e non scaricare software da fonti non ufficiali. 

Quanto è pericoloso? 

Anche se il cryptojacking non distrugge i file come altri tipi di malware, il suo impatto può essere significativo: 

  • Prestazioni ridotte
    Il dispositivo diventa lento e meno efficiente. 
  • Consumi energetici elevati
    L’uso eccessivo della CPU aumenta la bolletta elettrica. 
  • Danni ai dispositivi mobili
    Nei casi più gravi, un carico di lavoro prolungato può danneggiare la batteria o il processore. 

Per le aziende, l’impatto può essere ancora maggiore, con costi legati all’energia e perdite di produttività. 

Conclusione 

Il cryptojacking rappresenta una delle minacce più subdole della sicurezza informatica moderna. La sua capacità di rimanere nascosto mentre sfrutta le risorse del computer rende difficile individuarlo e fermarlo.

Tuttavia, con le giuste precauzioni e strumenti di sicurezza, utenti e aziende possono proteggersi da questo tipo di attacco e mantenere i loro dispositivi al sicuro. 

Domande e risposte 

  1. Cos’è il cryptojacking?
    E’ un attacco che utilizza le risorse del dispositivo di un utente, senza il suo consenso, per estrarre criptovaluta. 
  2. Come funziona il cryptojacking?
    Può avvenire tramite malware installato localmente o attraverso codice JavaScript eseguito nel browser web. 
  3. Quali dispositivi possono essere colpiti dal cryptojacking?
    Computer, dispositivi mobili, tablet e server possono essere vittime di un attacco di cryptojacking. 
  4. Come posso rilevare il cryptojacking?
    Segni comuni includono un rallentamento del dispositivo, surriscaldamento e utilizzo anomalo della CPU. 
  5. Il cryptojacking danneggia il mio dispositivo?
    Sì, può ridurre le prestazioni, aumentare i consumi energetici e danneggiare la batteria nei dispositivi mobili. 
  6. Come posso proteggermi dal cryptojacking?
    Utilizza software di sicurezza, aggiorna regolarmente il sistema e blocca JavaScript nei browser. 
  7. Cos’è il cryptomining drive-by?
    È una tecnica di cryptojacking in cui il codice di mining viene eseguito nel browser web mentre si visita una pagina web. 
  8. Perché i cybercriminali usano il cryptojacking?
    Perché è un metodo a basso rischio e altamente redditizio per generare criptovaluta senza costi diretti. 
  9. Posso fermare il cryptojacking sul mio dispositivo?
    Sì, installando software di protezione aggiornati e monitorando l’utilizzo della CPU. 
  10. Qual è la differenza tra cryptojacking e mining legittimo?
    Il mining legittimo avviene con il consenso dell’utente, mentre il cryptojacking sfrutta risorse all’insaputa della vittima. 

30
To top