Malware Ruba-Criptovalute: Colpiti Oltre 28.000 Utenti in Eurasia
Una vasta campagna malware ha compromesso oltre 28.000 persone in Russia, Turchia, Ucraina e altre nazioni della regione eurasiatica. Questo malware è progettato per rubare criptovalute e si maschera come software legittimo, promosso attraverso video su YouTube e repository GitHub fraudolenti, dove le vittime scaricano archivi protetti da password che attivano l'infezione.
Come Funziona l'Attacco
Secondo la società di cybersecurity Dr. Web, questa campagna utilizza software piratato, come programmi per ufficio, cheat di giochi e bot di trading automatizzato, per ingannare gli utenti e far scaricare loro file pericolosi.
“In totale, questa campagna malware ha colpito più di 28.000 persone, la maggior parte delle quali residenti in Russia,” ha dichiarato Dr. Web.
Anche altri paesi, tra cui Bielorussia, Uzbekistan, Kazakistan, Ucraina, Kirghizistan e Turchia, hanno registrato un numero significativo di infezioni.
Catena di Infezione
L'infezione inizia con l'apertura di un archivio autoestraente, che evita i controlli antivirus grazie alla protezione con password. Una volta inserita la password, vengono rilasciati script offuscati, file DLL e un interprete AutoIT utilizzato per avviare il caricatore firmato digitalmente del payload principale.
Il malware verifica la presenza di strumenti di debug per rilevare se è in esecuzione in un ambiente di analisi, terminando se trova indizi di ciò. Successivamente, estrae i file necessari per le fasi successive dell'attacco e utilizza la tecnica Image File Execution Options (IFEO) per modificare il Registro di Windows e mantenere la persistenza.
In breve, il malware prende il controllo dei servizi di sistema legittimi di Windows, così come dei processi di aggiornamento di Chrome ed Edge, sostituendoli con versioni dannose per eseguire i file del malware ogni volta che vengono avviati.
Il servizio di ripristino di Windows viene disabilitato e i permessi di eliminazione e modifica dei file e delle cartelle del malware vengono revocati, impedendo tentativi di rimozione.
Comunicazione con il Server di Comando e Controllo
Dopo queste operazioni, il malware utilizza l'utilità di rete Ncat per stabilire una comunicazione con il server di comando e controllo (C2). Inoltre, raccoglie informazioni di sistema, compresi i processi di sicurezza attivi, che vengono esfiltrati tramite un bot Telegram.
Impatto Economico
La campagna distribuisce due payload principali sui dispositivi delle vittime:
- Deviceld.dll: una libreria .NET modificata per eseguire il SilentCryptoMiner, che mina criptovalute sfruttando le risorse computazionali dell'utente.
- 7zxa.dll: una libreria 7-Zip modificata che monitora il contenuto degli appunti di Windows per individuare indirizzi di portafogli criptovalute e sostituirli con quelli controllati dagli attaccanti.
Dr. Web non ha specificato i profitti ottenuti dal mining sui 28.000 dispositivi infetti, ma ha rilevato che il clipper ha intercettato transazioni per un valore di circa 5.600 euro, dirottando l'importo verso gli indirizzi degli attaccanti.
Come Proteggersi
Per evitare perdite finanziarie, è essenziale scaricare software solo dal sito ufficiale del progetto e ignorare o bloccare i risultati promossi su Google Search. Inoltre, è fondamentale fare attenzione ai link condivisi su YouTube o GitHub, poiché la legittimità di queste piattaforme non garantisce la sicurezza del contenuto scaricato.