Una nuova ondata di attacchi informatici ha colpito oltre 3500 siti web in tutto il mondo attraverso l’iniezione di script JavaScript progettati per il mining di criptovalute. Questo fenomeno, noto come cryptojacking, rappresenta una delle minacce più insidiose per la sicurezza dei siti web e degli utenti stessi. Gli attaccanti hanno sapientemente evoluto le proprie tecniche, passando da attacchi che sfruttavano la potenza di calcolo in modo evidente a strategie molto più furtive e difficili da individuare sia dagli utenti sia dagli strumenti di sicurezza.

Il nuovo miner utilizza JavaScript offuscato, capace di valutare la potenza del dispositivo del visitatore, attivando in background dei Web Workers che eseguono il mining in parallelo. La comunicazione con server esterni tramite WebSocket consente agli aggressori di regolare l’intensità del mining in base alle risorse disponibili, mantenendo così l’attività sotto la soglia di attenzione e garantendo persistenza nel tempo. Gli utenti che navigano siti compromessi diventano inconsapevolmente generatori di criptovaluta, senza alcun consenso. La modalità di infezione iniziale dei siti non è ancora stata pienamente compresa.

Un elemento preoccupante è la connessione tra i domini utilizzati per il mining e precedenti campagne Magecart dedicate al furto di dati tramite skimmer di carte di credito. Questo dimostra la versatilità della stessa infrastruttura malevola, in grado di ospitare sia script per il cryptojacking sia codice per il furto di dati sensibili, diversificando le fonti di guadagno degli attaccanti.

Le tecniche di compromissione di siti web sono sempre più articolate: si va dall’iniezione di script dannosi tramite Google Tag Manager e callback OAuth manipolati, all’alterazione di file critici di WordPress come wp-settings.php o i temi, fino alla distribuzione di plugin WordPress contraffatti che attivano codice malevolo solo in presenza di crawler dei motori di ricerca, sfruttando così il posizionamento SEO per promuovere siti di spam. Recentemente, si sono registrati anche attacchi supply chain tramite versioni backdoor di plugin popolari come Gravity Forms, che permettono agli aggressori di ottenere il controllo totale del sito colpito.

Oggi l’obiettivo degli attaccanti non è più solo il guadagno immediato, ma la persistenza e la furtività. L’utilizzo di tecniche di offuscamento, WebSocket e la riutilizzazione delle infrastrutture malevole rende queste campagne di cryptojacking e spam particolarmente difficili da individuare e bloccare. Questo scenario sottolinea l’importanza di monitorare costantemente la sicurezza del proprio sito web e di aggiornare regolarmente plugin, CMS e strumenti di terze parti.