UPGRD

Tutte le ultime notizie tech e non

Cybersecurity

Campagna malware colpisce oltre 28.000 persone in Eurasia: ecco come difendersi

By ,

Malware Ruba-Criptovalute: Colpiti Oltre 28.000 Utenti in Eurasia

Una vasta campagna malware ha compromesso oltre 28.000 persone in Russia, Turchia, Ucraina e altre nazioni della regione eurasiatica. Questo malware è progettato per rubare criptovalute e si maschera come software legittimo, promosso attraverso video su YouTube e repository GitHub fraudolenti, dove le vittime scaricano archivi protetti da password che attivano l'infezione.

Come Funziona l'Attacco

Secondo la società di cybersecurity Dr. Web, questa campagna utilizza software piratato, come programmi per ufficio, cheat di giochi e bot di trading automatizzato, per ingannare gli utenti e far scaricare loro file pericolosi.

“In totale, questa campagna malware ha colpito più di 28.000 persone, la maggior parte delle quali residenti in Russia,” ha dichiarato Dr. Web.

Anche altri paesi, tra cui Bielorussia, Uzbekistan, Kazakistan, Ucraina, Kirghizistan e Turchia, hanno registrato un numero significativo di infezioni.

Immagine

Catena di Infezione

L'infezione inizia con l'apertura di un archivio autoestraente, che evita i controlli antivirus grazie alla protezione con password. Una volta inserita la password, vengono rilasciati script offuscati, file DLL e un interprete AutoIT utilizzato per avviare il caricatore firmato digitalmente del payload principale.

Il malware verifica la presenza di strumenti di debug per rilevare se è in esecuzione in un ambiente di analisi, terminando se trova indizi di ciò. Successivamente, estrae i file necessari per le fasi successive dell'attacco e utilizza la tecnica Image File Execution Options (IFEO) per modificare il Registro di Windows e mantenere la persistenza.

In breve, il malware prende il controllo dei servizi di sistema legittimi di Windows, così come dei processi di aggiornamento di Chrome ed Edge, sostituendoli con versioni dannose per eseguire i file del malware ogni volta che vengono avviati.

Il servizio di ripristino di Windows viene disabilitato e i permessi di eliminazione e modifica dei file e delle cartelle del malware vengono revocati, impedendo tentativi di rimozione.

Immagine

Comunicazione con il Server di Comando e Controllo

Dopo queste operazioni, il malware utilizza l'utilità di rete Ncat per stabilire una comunicazione con il server di comando e controllo (C2). Inoltre, raccoglie informazioni di sistema, compresi i processi di sicurezza attivi, che vengono esfiltrati tramite un bot Telegram.

Impatto Economico

La campagna distribuisce due payload principali sui dispositivi delle vittime:

  • Deviceld.dll: una libreria .NET modificata per eseguire il SilentCryptoMiner, che mina criptovalute sfruttando le risorse computazionali dell'utente.
  • 7zxa.dll: una libreria 7-Zip modificata che monitora il contenuto degli appunti di Windows per individuare indirizzi di portafogli criptovalute e sostituirli con quelli controllati dagli attaccanti.

Dr. Web non ha specificato i profitti ottenuti dal mining sui 28.000 dispositivi infetti, ma ha rilevato che il clipper ha intercettato transazioni per un valore di circa 5.600 euro, dirottando l'importo verso gli indirizzi degli attaccanti.

Come Proteggersi

Per evitare perdite finanziarie, è essenziale scaricare software solo dal sito ufficiale del progetto e ignorare o bloccare i risultati promossi su Google Search. Inoltre, è fondamentale fare attenzione ai link condivisi su YouTube o GitHub, poiché la legittimità di queste piattaforme non garantisce la sicurezza del contenuto scaricato.

FAQ

Qual è l'obiettivo principale del malware descritto nell'articolo?

L'obiettivo principale del malware è rubare criptovalute dagli utenti, mascherandosi come software legittimo.

Quante persone sono state colpite da questa campagna malware?

Oltre 28.000 persone sono state colpite, principalmente in Russia, Turchia, Ucraina e altre nazioni della regione eurasiatica.

Come viene distribuito il malware?

Il malware viene distribuito attraverso video su YouTube e repository GitHub fraudolenti, dove le vittime scaricano archivi protetti da password.

Quali tipi di software vengono utilizzati per ingannare gli utenti?

Vengono utilizzati software piratati, come programmi per ufficio, cheat di giochi e bot di trading automatizzato.

Come inizia l'infezione da malware?

L'infezione inizia con l'apertura di un archivio autoestraente, che evita i controlli antivirus grazie alla protezione con password.

Quali tecniche utilizza il malware per mantenere la persistenza nel sistema?

Il malware utilizza la tecnica Image File Execution Options (IFEO) per modificare il Registro di Windows e mantenere la persistenza.

Che tipo di comunicazione stabilisce il malware con il server di comando e controllo?

Il malware utilizza l'utilità di rete Ncat per stabilire una comunicazione con il server di comando e controllo (C2) e raccoglie informazioni di sistema.

Quali sono i due payload principali distribuiti dal malware?

I due payload principali sono Deviceld.dll, che esegue il SilentCryptoMiner, e 7zxa.dll, che monitora gli appunti di Windows per intercettare indirizzi di portafogli criptovalute.

Qual è l'impatto economico di questa campagna malware?

La campagna ha dirottato transazioni per un valore di circa 5.600 euro verso gli indirizzi degli attaccanti.

Come possono gli utenti proteggersi da questo tipo di attacco?

Gli utenti dovrebbero scaricare software solo dai siti ufficiali, ignorare i risultati promossi su Google Search e prestare attenzione ai link condivisi su YouTube o GitHub.

Precedente

Fortinet: Vulnerabilità critica sfruttata da hacker, avverte CISA

Successivo

Red Dead Redemption arriva su PC: ecco tutte le novità imperdibili!