Javascript malevoli sono ormai all’ordine del giorno. Uno degli elementi forse più antipatico sono i miner di cryptovalute, che sfruttano la potenza di calcolo degli ignari (e incauti) utenti per l’operazione di mining.
L’ultimo appena scoperto dai nostri sistemi di sicurezza è ospitato nelle pagine del sito soccerlive.casa (l’URL analizzato è http://soccerlive.casa/player.php?id=7&live), che sembrerebbe un servizio di streaming di eventi sportivi ospitato dai server di Cloudflare (almeno secondo il suo IP, 104.18.56.67). All’interno del codice HTML delle sue pagine è celata una semplice istruzione di caricamento di un Javascript esterno:
<script src="js/soccerlive.php?f=aEvl.js" type="76f92be5e11ff186a680cd77-text/javascript"></script>
Questo Javascript contiene, offuscato, il codice di un miner identificato come JS/Miner.BP!tr (lo script ha diversi nomi, come potete vedere sulla relativa pagina di VirusTotal). In pratica, aprendo questa pagina web con un browser, viene caricato anche il codice malevolo:
Ancora una volta, è importante evitare di visitare siti web che offrono (spesso “gratuitamente”) servizi illegali, poiché talvolta potrebbero esserci pagamenti nascosti.
In particolare, consiglio vivamente di mantenersi lontani dai siti web che offrono streaming illegali, software craccato e altri servizi di dubbia legittimità: sono spesso veicolo privilegiato per la diffusione di malware e potreste diventare, a vostra insaputa, vittime di questi criminali.
1 comment
Super