[GioRock]

Non so se è capitato anche a Voi, ma ieri provando a connettermi su altrove, il mio Antivirus NIS è come impazzito, ha rilevato più tentativi di intrusione, per l'esattezza stava tentando di installare questi malware:

PUA.JScoinminer

più e altri due JavaScript annessi...

In pratica si installa uno script che cerca di utilizzare le risorse dei Vostro PC a servizio dei Miner che procacciano cripto valute...

Si legge che:

Questo parassita fa uso di JavaScript per “scavare” crypto monete.
Il Trojan utilizza la CPU e la GPU ed è in grado di fornire servizi di contabilità per la piattaforma monetaria.
In cambio dei suoi servizi, il computer utilizzato è ricompensato con crypto monete.

Si, ma non Voi, ma bensì il creatore dello script!!!

Dopo averli rimossi, l'Antivirus mi chiede di riavviare il sistema per una pulizia in profondità e così faccio, dopo il riavvio mi collego ai soliti siti tecnici ormai noti compreso questo e non succede nulla, torno su altrove per leggere degli articoli e PAM , scatta ancora l'allarme, ma questa volta non mi chiede di riavviare, chiudo anche il browser per sicurezza, rilancio IE e tento una connessione e ancora scatta l'allarme chiedendomi di riavviare, rifaccio la procedura e tutto OK, però ora non mi fido più di andare su altrove per evitare ulteriori perdite di tempo...

E' successo anche a Voi, avete notato nulla di strano sul sito???

[Maxim]

Confermo quanto da te esposto Giò...
E se il buon giorno si vede dal mattino

[GioRock]

Pare che l'allarme sia rientrato, oggi ho cercato di replicare le condizioni del fatidico giorno senza rilevare ulteriori interferenze, speriamo in bene...

[GioRock]

Per correttezza posto la notizia di cosa è stato rilevato a riguardo e a livello globale, altrove non sembra responsabile visto quello che c'è scritto, l'articolo è stato tradotto in automatico ma si capisce bene il contenuto, l'artefice della diffusione dello script è Youtube accompagnato dalla pubblicità di Google...

Venerdì, i ricercatori con il fornitore di antivirus Trend Micro hanno affermato che gli annunci hanno contribuito a triplicare il numero di rivelatori Web miner. Hanno detto che gli aggressori dietro gli annunci stavano abusando della piattaforma pubblicitaria DoubleClick di Google per visualizzarli ai visitatori di YouTube in alcuni paesi selezionati, tra cui Giappone, Francia, Taiwan, Italia e Spagna.

Gli annunci contengono JavaScript che estrae la moneta digitale conosciuta come Monero. In nove casi su 10, gli annunci utilizzeranno JavaScript disponibili al pubblico fornito da Coinhive, un servizio di cripto-costruzione di valuta che è controverso perché permette agli abbonati di trarre profitto utilizzando surrettiziamente computer di altre persone. Il restante 10 per cento del tempo rimanente, gli annunci YouTube utilizzare JavaScript minerario privato minerario che salva gli aggressori il 30 per cento tagliato Coinhive prende. Entrambi gli script sono programmati per consumare l' 80% della CPU di un visitatore, lasciando appena risorse sufficienti per il suo funzionamento.

"YouTube è stato probabilmente preso di mira perché gli utenti sono in genere sul sito per un lungo periodo di tempo", ha dichiarato Troy Mursch, ricercatore indipendente di sicurezza di Ars. "Questo è un obiettivo primario per criptojacking di malware, perché più gli utenti estraggono per criptocurrency più soldi vengono fatti". Mursch ha detto che una campagna a partire da settembre che ha utilizzato il sito web di Showtime per consegnare annunci criptocurrency-mining è un altro esempio di aggressori che prendono di mira un sito video.

Per aggiungere insulto alla lesione, il maligno JavaScript in almeno alcuni casi è stato accompagnato da grafica che mostrava annunci per falsi programmi AV, che truffavano le persone con i soldi e spesso installare malware quando sono in esecuzione.

L' annuncio di cui sopra è stato pubblicato il martedì. Come gli annunci analizzati da Trend Micro e pubblicati sui social media, ha estratto monete Monero per conto di qualcuno con la chiave del sito Coinhive di "h7axC8ytzLJhIxxvIHMeC0Iw0Iw0SPoDwCK". Non è possibile sapere quante monete ha finora generato l' utente. Trend Micro ha dichiarato che la campagna è iniziata il 18 gennaio. In un messaggio di posta elettronica inviato mentre questo post stava andando in diretta, un rappresentante di Google ha scritto:


Mining criptocurrency minerario attraverso gli annunci è una forma relativamente nuova di abuso che viola le nostre politiche e quello che abbiamo monitorato attivamente. Applichiamo le nostre politiche attraverso un sistema di rilevamento multilivello su tutte le nostre piattaforme che aggiorniamo man mano che emergono nuove minacce. In questo caso, gli annunci sono stati bloccati in meno di due ore e gli attori dannosi sono stati rapidamente rimossi dalle nostre piattaforme.

Non era chiaro cosa intendesse dire il rappresentante quando si diceva che gli annunci erano bloccati in meno di due ore. Le prove fornite da Trend Micro e dai social media hanno mostrato vari annunci che contenevano sostanzialmente lo stesso JavaScript per una settimana. Il rappresentante non ha risposto alle domande di follow-up cercando una tempistica di quando gli annunci abusivi sono iniziati e terminati.

Ulteriore lettura

Cryptojacking craze che drena la vostra CPU ora fatto da 2.500 siti Come il problema della criptomining basato su Web è aumentato a proporzioni quasi epidemiche, una varietà di programmi AV hanno iniziato ad avvertire degli script di crittografia-mining ospitati su siti web e dando agli utenti la possibilità di bloccare l' attività. Mentre drive-by cryptocurrency mining è un abuso che drena le risorse elettriche e informatiche dei visitatori, non c' è alcuna indicazione che installi ransomware o altri tipi di malware, fino a quando le persone non fanno clic su download dannosi.

[GioRock]

Tanto per fare maggiore chiarezza:

Io non ho cliccato nessun annuncio pubblicitario (quando mai), adesso che ricordo, ho eseguito un accesso su youtube per mettere un "I like" ad un mio amico e poi mi sono sloggato, 10s in tutto immagino...

In seguito girando sui vari Forum, solo altrove attivava l'allarme dell'antivirus, pur navigando in rete non accadeva nulla anche sullo stesso youtube, quindi qualcosina c'entra anche altrove probabilmente in forma involontaria spero...