Blog AVG Signal Protezione Virus Che cos'è un virus miner e come rimuoverlo?
Cryptojacking-Hero

Che cos'è il cryptojacking?

Il cryptojacking consiste nell'acquisire il controllo del computer di qualcuno per eseguire segretamente il mining di criptovalute. 

Poiché il cryptojacking richiede un aumento della potenza di elaborazione per il mining di criptovalute come i bitcoin, i miner stanno scoprendo nuovi modi per ottenere questa potenza di elaborazione. Uno di questi consiste nel prenderne in prestito dalle migliaia di utenti Internet inconsapevoli.

Questo articolo contiene:

    La valuta bitcoin è diventata incredibilmente redditizia nel 2017, quando il prezzo è balzato all'incredibile valore di 20.000 dollari a moneta. Infatti, in quell'anno i dispositivi personali hanno effettuato più mining di criptovalute rispetto a qualsiasi altra attività. Il denaro digitale ha preso d'assalto Internet e molti hanno trovato soluzioni spregiudicate per trarne profitto. 

    Un virus miner di bitcoin può essere talmente aggressivo da consumare una batteria in pochissimo tempo, rendere un computer inutilizzabile e abbreviare la durata di un dispositivo.

    Una conseguenza è stata lo sviluppo di malware di mining di bitcoin. Gli hacker hanno sviluppato alcuni metodi per appropriarsi di potenza di elaborazione dai computer usati da persone come te, che, moltiplicata per diverse migliaia, aumenta drammaticamente le possibilità di successo delle pratiche di mining. L'idea è che si tratta di un'alternativa molto più economica rispetto alla necessità di sborsare migliaia di dollari per diverse decine di ASIC Miner (il metodo tradizionale per il mining di criptovalute).

    Quali sono le conseguenze del cryptojacking per te?

    La persona che infetta il tuo computer con malware di mining di criptovalute lo fa solo per guadagnare denaro. In senso stretto, lo scopo del cryptojacking non è accedere ai tuoi dati privati o condividerli.

    Tuttavia, i cryptojacker usano le tue risorse di sistema senza il tuo consenso o anche senza che tu te ne accorga. Un virus miner di bitcoin può essere talmente aggressivo da consumare una batteria in pochissimo tempo, rendere un computer inutilizzabile per lunghi periodi e abbreviare la durata di un dispositivo. Non solo: mentre le bollette dell'elettricità aumentano, la tua produttività diminuisce. Possiamo senz'altro affermare che si tratta di una violazione alla sicurezza.

    È importante notare che quasi mai riscontrerai operazioni di cryptojacking che prendono di mira i bitcoin. Poiché il mining di bitcoin richiede enorme potenza di elaborazione, non è possibile ricorrere al cryptojacking a questo scopo. Tuttavia, in quanto criptovaluta più nota, il termine "bitcoin" viene talvolta usato per fare riferimento a tutti i tipi di valuta digitale. Allo stesso modo, "virus miner di bitcoin" è un termine onnicomprensivo. 

    Solo le criptovalute minori come Monero hanno specifiche hardware minime e di conseguenza sono esposte a pratiche di mining con malware di cryptojacking. La non tracciabilità delle transazioni in Monero è un altro fattore che rende tale valuta un obiettivo ideale per questo tipo di crimine informatico. Ma indipendentemente dal tipo di operazione di mining che può aver infettato il tuo sistema, ti conviene bloccarla immediatamente con uno strumento antivirus efficace. 

    AVG AntiVirus Free rileva e blocca tutti i tipi di infezioni da malware, dal cryptojacking allo spyware, fino ai virus più comuni. Scaricalo oggi stesso per ottenere protezione online 24 ore su 24, 7 giorni su 7.

    Tipi di virus miner diversi

    Molti sono i modi in cui puoi subire un attacco di cryptojacking, che differiscono in tracciabilità. Vediamo due dei metodi più comuni.

    Virus miner basato su browser

    Gli script dei siti Web sono un metodo comune usato dai cryptojacker per assumere il controllo del tuo computer. Poiché gli script sono funzioni in esecuzione dietro le quinte e godono di un certo livello di accesso al computer, sono ideali per il mining di bitcoin basato su browser. Gli hacker sono anche noti per trovare porte di accesso nei database di WordPress ed eseguirvi codice. 

    Ti basta visitare un certo sito Web senza protezione (o con software non aggiornato) perché uno script invisibile indichi al computer di avviare il mining. Questo vale in genere solo per i siti Web compromessi ed è per questo che è importante accertarti che i siti che visiti siano sicuri. Tuttavia, come vedremo, anche i siti più attendibili hanno subito attacchi occasionali. Nello scenario migliore il mining si arresta non appena esci dal sito o chiudi il browser. 

    Le vittime di cryptojacking devono aspettarsi il prosciugamento delle risorse della propria CPU fino al limite.

    Allegati email e link rudimentali sono altri strumenti attraverso i quali gli hacker possono indurre il computer a eseguire codice dannoso. Controlla con attenzione ogni email prima di fare clic su qualsiasi elemento. Diffida di Facebook o altre piattaforme che ti chiedono la password senza motivo. Non credere a ogni pulsante che indica che devi aggiornare Firefox o Chrome. Se non proviene dal sito Web ufficiale del browser, un pulsante di questo tipo potrebbe installare software di mining nel browser. E probabilmente non sparirà quando chiudi il browser. 

    Le vittime di cryptojacking devono aspettarsi il prosciugamento delle risorse della propria CPU fino al limite. Può essere sfruttata anche la GPU, attingendo alla capacità di potenti schede video. Questi attacchi si traducono in un rallentamento delle prestazioni del computer e in un aumento della bolletta dell'elettricità. Non sembra così grave in confronto, ad esempio, al furto di identità. Ma è comunque un problema di sicurezza da cui devi proteggerti.

    Miner di bitcoin adware

    I miner di bitcoin adware sono un altro tipo di malware di cryptojacking. Dopo aver infettato il computer, i miner di bitcoin adware vi restano all'interno come programmi installati o righe di codice incorporate nella RAM, il che li rende molto più pericolosi rispetto ad altre forme di cryptojacking.

    Profondamente radicato nei file di sistema, un adware basato su file può disabilitare l'antivirus. Può indurre l'installazione di una copia di se stesso nel computer. Può anche determinare quando è aperto Gestione attività e sospenderne l'esecuzione di conseguenza. In questo modo, non noterai mai un picco di utilizzo della CPU, né potrai visualizzare il nome del programma che consuma tutte le risorse. 

    A volte un virus miner appare come malware senza file, ovvero come comandi eseguiti dalla memoria del computer o operazioni essenziali del sistema operativo. In questo modo, è di gran lunga più difficile da rilevare.

    Minor viruses and other fileless malware can be very difficult to detect and remove from your computer.

    L'uso della potenza di elaborazione di un utente senza la sua autorizzazione e il prosciugamento della produttività e del ciclo di vita dei componenti hardware sono già abbastanza nocivi. La capacità di introdursi profondamente all'interno di un computer, paralizzarne la funzionalità e nascondere ogni traccia di malware è ancora più grave e invasiva.

    Se di recente hai scaricato qualcosa di simile a un programma autentico, ma in realtà una "sottomarca", potrebbe essere stato installato un malware di criptovalute. Un esempio specifico è Auto Refresh Plus, che si traveste da aggiornamento obbligatorio per Mozilla Firefox. Una volta installato, avvia il mining in background delle criptovalute bombardandoti di annunci indesiderati. Per rimuoverlo dal sistema, ti servirà un programma anti-malware.

    Malware di cryptojacking degni di nota

    Se vuoi tenerti al corrente del fenomeno del cryptojacking, vi sono un paio di nomi che devi conoscere. Coinhive era un servizio che tentava di eseguire il mining di criptovalute per fini positivi, ma che ha finito per essere usato impropriamente. RoughTed, un fenomeno del tutto diverso, è un termine onnicomprensivo per una campagna di criminalità informatica che include molte attività illecite diverse. Osserviamoli più in dettaglio.

    Che cos'è Coinhive?

    Coinhive è nato come alternativa legittima alla pubblicità, generando ricavi con le risorse della CPU del tuo PC durante la visualizzazione di una pagina Web. L'idea era ottima: uno script nel sito Web indicava al computer di eseguire il mining della criptovaluta Monero. In cambio, il sito Web non avrebbe ospitato annunci. 

    Lo strumento aveva molte possibili applicazioni. UNICEF Australia raccoglieva donazioni con un messaggio che invitava a regalare speranza con la semplice presenza in una pagina in cui era in esecuzione Coinhive. Finché la pagina era aperta in un browser, il computer dell'utente continuava a eseguire il mining di Monero, generando donazioni. 

    Benché l'intenzione originale alla base di Coinhive fosse usare solo una parte della potenza di elaborazione di un utente, in realtà gli attacchi di cryptojacking la prosciugavano completamente, rallentando il computer fino al punto di renderlo inutilizzabile.

    Che cosa è andato storto? Pochi malintenzionati hanno usato la tecnologia per il proprio profitto personale. Coinhive ha iniziato a diffondersi su siti Web violati. Benché l'intenzione originale alla base di Coinhive fosse usare solo una parte della potenza di elaborazione di un utente, in realtà gli attacchi di cryptojacking la prosciugavano completamente, rallentando il computer fino al punto di renderlo inutilizzabile. 

    Il problema è diventato evidente al servizio sanitario nazionale del Regno Unito, che ha scoperto che il proprio software di accessibilità BrowseAloud, che usa funzionalità vocali per leggere i siti Web a favore dei ciechi, era stato violato con Coinhive per scopi di mining di Monero. Oltre al maggiore utilizzo della CPU, l'aspetto più allarmante era la violazione alla sicurezza subita. La quantità di informazioni private che avrebbero potuto essere divulgate era immensa.

    Blocchi annunci e software antivirus hanno dovuto restare operativi a lungo per bloccare l'esecuzione di questi script e il cryptojacking si è rivelato una vera e propria violazione alla sicurezza. Indipendentemente da come era stato usato, era semplicemente troppo facile per i siti Web eseguire pratiche di mining senza autorizzazione.

    Oltre a tutto questo, i servizi che tentavano il mining di criptovalute per scopi etici non riuscivano a richiedere l'autorizzazione, scoraggiando molte persone che avrebbero potuto sostenere la causa. È quanto è successo con il sito di condivisione di file peer-to-peer The Pirate Bay, che ha sostituiti gli annunci del banner con Coinhive senza dirlo a nessuno. Inoltre, The Pirate Bay ha configurato Coinhive in modo errato, facendo sì che gli utenti riscontrassero un picco elevato di utilizzo della CPU a ogni visita del sito. 

    The Pirate Bay ha subito moltissime ripercussioni. A causa dell'uso improprio della tecnologia in così tanti modi diversi, il mining di criptovalute come alternativa agli annunci si è rivelato un buco nell'acqua. Coinhive ha chiuso i battenti nel 2019.

    Che cos'è RoughTed?

    RoughTed è una campagna di criminalità informatica organizzata che ha trasformato l'intero settore della sicurezza informatica. Immagina che il malware prenda il controllo di qualcosa che visualizziamo ogni giorno su internet, ovvero gli annunci. Se gli hacker potessero sfruttare a proprio vantaggio reti di annunci di terze parti in Internet, sarebbero già a metà dell'opera. Potrebbero sferrare un vasto attacco ramificato talmente diffuso che non solo sarebbe in grado di colpire un numero incredibile di persone, ma potrebbe anche sottrarsi facilmente al rilevamento.

    Purtroppo non puoi immaginare uno scenario di questo tipo, perché esiste già. È noto come malvertising. Nei siti Web nell'intera rete Internet gli annunci inducono i computer a eseguire il mining di criptovalute. 

    Come si induce una rete di annunci a distribuire annunci illeciti?

    • Offuscamento. Scrivendo codice apparentemente innocente. I linguaggi di programmazione sono appunto questo, linguaggi. Le campagne di malvertising sono in grado di aggirare alcuni filtri riscrivendo il codice.

    • Uso di reti equivoche. Esistono reti che visualizzano annunci per The New York Times e altre che lo fanno per siti pornografici o di gioco d'azzardo. Quali siti pensi stiano più attenti alle conseguenze dei propri spazi pubblicitari per gli utenti? Il NYT non può mettere a rischio la propria reputazione, ma purché un sito per il gioco d'azzardo riesca a fare soldi, che importa quali annunci visualizza?

    • Creazione di annunci dall'aspetto legittimo. Potremmo pensare che esista una correlazione tra l'aspetto di un annuncio e quello che fa in background. Non è così. L'annuncio può promuovere qualunque cosa, avere un aspetto autentico ed elegante e contenere comunque codice dannoso.

    • Dirottamento di una rete di annunci esistente. Siti legittimi come The New York Times non sono del tutto immuni. Infatti, il NYT ha iniziato a visualizzare inconsapevolmente annunci dannosi nel 2016, tutti provenienti da una rete di annunci compromessa. RoughTed non è stato ancora fermato, anche se sfrutta la rete di distribuzione di contenuti di Amazon.

    • Reindirizzamento. Il reindirizzamento è il modo in cui qualcuno entra inizialmente in contatto con il malware. L'annuncio esegue uno script che indirizza l'utente a un server dannoso, ma solo se questi usa software non aggiornato. Per molti utenti, l'annuncio non esegue alcuna attività dannosa. Questo comportamento lo rende più difficile da rilevare.

    • Reindirizzamento ripetuto. Per le vittime come per gli host, un numero infinito di reindirizzamenti (o una serie di reindirizzamenti dall'aspetto legittimo) permette di nascondere qualsiasi attività illecita.

    È in questo modo che il cryptojacking può diffondersi in Internet. Sfortunatamente, il cryptojacking è uno dei tipi di attacco più moderati di RoughTed. La campagna è anche nota per aver compromesso informazioni personali e aver infettato i dispositivi con malware insidioso. Ecco perché è importante saper rilevare e prevenire il cryptojacking e altri malware.

    Come determinare se il computer è infetto

    Per scoprire se il tuo computer è infetto, la prima mossa consiste nel controllare la temperatura della CPU: in genere un utilizzo elevato della CPU è un importante campanello di allarme. In caso di infezione da cryptojacking, il computer opera molto più lentamente rispetto al solito e il rumore della ventola ricorda il motore di un aereo al decollo. È il software di cryptojacking che usa tutte le risorse del computer per il mining delle criptovalute. Per averne la certezza, apri Gestione attività e osserva la scheda Prestazioni, osservando con particolare attenzione la CPU. Se raggiunge l'80% o il 90% senza che sia aperto alcun programma, c'è sicuramente qualcosa che non va.

    The "Performance" tab showing CPU performance in Windows Task Manager.

    Inoltre, devi saper identificare un miner di bitcoin. L'eccessivo utilizzo di CPU e GPU rallenta l'elaborazione del sistema, a volte fino a surriscaldarlo. Il rilevamento di malware di mining di bitcoin non comporta la semplice eliminazione di un problema dal dispositivo, ma significa anche migliorare la durata di tale dispositivo. Loapi, il malware di mining di Monero per Android, surriscaldava talmente tanto i dispositivi da distruggerli.

    I miner di criptovalute nascosti possono anche presentarsi come adware. Fai attenzione ai tipici segnali rivelatori della presenza di adware. Questi includono, come suggerisce il nome, annunci visualizzati dove non dovrebbero e un Web browser che opera troppo autonomamente, installando ad esempio nuove barre degli strumenti o visitando siti strani.

    Come rimuovere un virus miner di bitcoin

    Il processo per sbarazzarsi di un miner di bitcoin è in gran parte identico all'eliminazione di altri malware

    Il primo passaggio consiste nell'eseguire un antivirus affidabile. AVG AntiVirus Free è uno strumento all'avanguardia per la sicurezza informatica che ti aiuterà a rimuovere malware e a bloccare le future infezioni. Ti mostreremo il modo migliore di usarlo per liberare il computer da qualsiasi virus miner dannoso. Per iniziare, scarica e installa AVG AntiVirus Free.

    1. Apri AVG AntiVirus Free. Puoi fare clic su Esegui Scansione intelligente, ma può anche essere utile provare un tipo diverso di scansione, in quanto i virus miner possono nascondersi piuttosto bene. Per eseguire una scansione diversa, fai clic sui tre puntini accanto a "Esegui Scansione intelligente".

      The main window for AVG Free Antivirus, with "Run Smart Scan" and the three dots next to it circled.

    2. Scegli Scansione all'avvio. Questa scansione approfondita controlla la presenza di minacce più nascoste.

      The three dots next to Run Smart Scan have been clicked, and different scan options are shown.

    3. Esamina le opzioni. Scorri verso il basso e conferma.

      The options for a Boot-time scan are shown.

    4. Fai clic su Esegui al prossimo riavvio del PC per pianificare una scansione all'avvio.

      The final confirmation screen for Boot-time scan is shown; a big green button that says "Run on Next PC Reboot."

    5. Riavvia il PC per eseguire la scansione all'avvio. Se viene rilevato un virus miner o qualsiasi altra minaccia, potrai eliminarlo immediatamente.

    6. AVG AntiVirus Free esegue regolarmente la scansione del computer per proteggerti da qualsiasi infezione aggiuntiva.

    A proposito di buone abitudini per la sicurezza, prenditi un po' di tempo per cancellare la cronologia di esplorazione e di ricerca. Si tratta dei file salvati e visualizzati dal computer quando visiti un sito, in modo da non doverli scaricare di nuovo. Nel farlo, elimina anche i cookie del browser. Poiché i cookie del browser tengono traccia dei tuoi dati, ti conviene evitare che cookie dannosi si introducano nel disco rigido.

    Come difenderti da Coinhive e da altri virus miner

    La migliore difesa contro tutti i tipi di malware è la prevenzione. Ecco alcune semplici azioni che puoi intraprendere.

    • Evita link insoliti. Non fare clic su URL dall'aspetto insolito o contenenti errori. In caso di dubbi, puoi cercare l'URL in Google e controllare la descrizione nella pagina dei risultati per verificare se il sito è o meno legittimo. Evita di fare clic su URL abbreviati che si trovano in posizioni anomale, come la sezione dei commenti di YouTube.

    • Controlla attentamente le email prima di scaricare allegati o fare clic su link al loro interno. Osserva l'indirizzo email per determinare se è falso. "account-security@facebok.com" è probabilmente un indirizzo falso, in quanto il termine "Facebook" è scritto in modo errato. Errori di battitura o parole insolite sono altri segnali di email contraffatte. Presta particolare attenzione alle email di phishing che ti chiedono di immettere la password o altre informazioni personali.

    • Usa un'estensione del browser anti-mining. Alcune estensioni come minerBlock possono impedire ai siti Web di indurre il computer al mining di criptovalute. Documentati a fondo su un'estensione prima di installarla e assicurati di aver installato un antivirus affidabile per proteggerti da eventuali estensioni dannose.

    • Controlla periodicamente Gestione attività. Nella scheda Processi puoi visualizzare i processi che consumano la maggior parte delle risorse. I browser Internet possono essere contenuti in questa scheda per l'utilizzo di memoria, in particolare se hai moltissime schede aperte. Ma se viene indicata un'attività poco chiara o se la CPU indica il 90% di utilizzo anche con poche schede aperte e altri programmi chiusi, è probabile che tu debba indagare ulteriormente.img_06

    Proteggiti con un software antivirus affidabile

    AVG AntiVirus Free è un software di protezione eccezionalmente sicuro. Non solo protegge il tuo computer con aggiornamenti di sicurezza in tempo reale, ma ne esegue anche la scansione in cerca di malware e problemi di prestazioni, intercettando download dannosi prima che qualsiasi infezione riesca ad annidarvisi.

    E con il suo nuovissimo design piacevolmente semplice, AVG AntiVirus Free ti protegge senza rallentarti. Scaricalo e installalo oggi stesso per bloccare tutti i tipi di malware descritti sopra, inclusi gli insidiosi malware senza file. Ottieni protezione 24 ore su 24, 7 giorni su 7, del tutto gratuitamente.

    Proteggi il tuo dispositivo Android dalle minacce con AVG AntiVirus

    Installazione gratuita

    Proteggi il tuo iPhone dalle minacce con AVG Mobile Security

    Installazione gratuita