Questa settimana, alcuni utenti di Francia, Italia, Giappone, Spagna e Taiwan hanno riferito che i loro programmi antivirus li stavano allertando per del codice di mining di criptovaluta in esecuzione non autorizzata mentre guardavano video su YouTube.
Anche quando gli utenti cambiavano browser e visitavano altri siti web, questi avvisi venivano visualizzati solo su YouTube. A seguito di questi reclami, la società di sicurezza online Trend Micro ha riferito che gli aggressori avevano utilizzato il sistema pubblicitario DoubleClick di Google per prendere il controllo delle CPU dei computer e degli smartphone degli utenti per estrarre la criptovaluta – in particolare, una moneta digitale denominata Monero.
Hey @avast_antivirus seems that you are blocking crypto miners (#coinhive) in @YouTube #ads
Thank you 🙂https://t.co/p2JjwnQyxz— Diego Betto (@diegobetto) January 25, 2018
Il codice del mining è stato in grado di fare effetto, iniettando un codice JavaScript negli annunci offerti agli spettatori. In effetti, 9 casi su 10 segnalati rivelano che il codice JavaScript utilizzato è stato fornito da Coinhive.
L’esperto di sicurezza Troy Mursch ha riferito ad Ars Technica:
YouTube è stato probabilmente scelto come target perché gli utenti sono in genere sul sito per un lungo periodo di tempo. Questo è un obiettivo primario per il malware della crittografia, poiché più a lungo gli utenti eseguono il mining per la criptovaluta più soldi vengono fatti
Per fortuna, questo attacco è stato sventato. Secondo un portavoce di Google, “gli annunci sono stati bloccati in meno di due ore e gli attori malintenzionati sono stati rapidamente rimossi dalle nostre piattaforme“.