L'azienda di sicurezza informatica Kaspersky ha lanciato l'allarme su un nuovo malware che prende di mira gli utenti di criptovalute tramite il sito web di hosting software SourceForge. In una recente pubblicazione, l'azienda ha affermato che il progetto software sul sito web, Office Package, contiene un malware che infetta gli indirizzi IP e prende di mira gli utenti di criptovalute.
Secondo il rapporto, il pacchetto software Office è un progetto legittimo contenente componenti aggiuntivi di Microsoft Office. Tuttavia, un'analisi più approfondita rivela ulteriori dettagli sul pacchetto, poiché contiene link per il download che rimandano a un URL diverso.
Diceva:
“Al progetto in esame è stato assegnato il dominio officepackage.sourceforge[.]io, ma la pagina visualizzata quando si accede a quel dominio non assomiglia per niente a officepackage su sourceforge.net.”
È interessante notare che il processo di download del malware è piuttosto complesso: gli utenti devono passare attraverso tre URL prima di poter scaricare il file. Questa complessità sembra essere parte del piano per indurre gli utenti a credere di scaricare un'applicazione autentica.
Gli esperti di sicurezza di Kaspersky hanno notato che il file di installazione finale è installer.msi, un file da 700 megabyte che i malintenzionati hanno gonfiato per farlo sembrare un autentico programma di installazione software. Dopo aver eliminato i byte inutili, la dimensione reale è di sette megabyte.
Eseguendo il programma di installazione, gli utenti installano inconsapevolmente due applicazioni dannose sui propri dispositivi: un miner e un ClipBanker. ClipBanker consente l'avvelenamento degli indirizzi sostituendo gli indirizzi crittografici copiati negli appunti con quelli dell'aggressore, inducendo gli utenti a inviare fondi agli indirizzi sbagliati.
Gli esperti di sicurezza hanno scritto:
"Le principali azioni dannose di questa campagna si riducono all'esecuzione di due script AutoIt. Icon.dll riavvia l'interprete AutoIt e vi inietta un miner, mentre Kape.dll fa lo stesso ma inietta ClipBanker."
Nel frattempo, hanno anche notato che l'attacco si è concentrato principalmente su obiettivi russi. Tra i segnali di ciò figurano l'interfaccia russa del sito officepackage.sourceforge[.]io e il fatto che il 90% dei 4.604 utenti che hanno incontrato il malware tra gennaio e fine marzo sono russi.
Aumento delle truffe legate all'avvelenamento
Il rapporto di Kaspersky coincide con il recente aumento degli attacchi di address poisoning contro gli utenti di criptovalute, come segnalato da diverse aziende di sicurezza blockchain. Secondo i dati di Scam Sniffer, il terzo più grandedent di phishing di marzo è stato causato da address poisoning.
Cyvers ha inoltre segnalato che le truffe di "indirizzamento" hanno causato una perdita di oltre 1,2 milioni di dollari nelle prime tre settimane di marzo, che si aggiungono agli 1,8 milioni di dollari di febbraio. L'azienda ha affermato che il suo sistema di rilevamento delle minacce basato sull'intelligenza artificiale hadentun aumento degli attacchi di "indirizzamento".
Mentre la maggior parte degli attacchi di avvelenamento degli indirizzi è causata dall'invio manuale di piccole transazioni alle vittime da parte degli aggressori, con indirizzi simili a quelli che utilizzano di frequente, l'uso di malware sofisticati che consentono agli aggressori di modificare gli indirizzi dagli appunti dimostra come i malintenzionati continuino a evolversi.
Gli esperti di sicurezza ritengono che la soluzione numero uno a questo problema sia che gli utenti evitino di scaricare software da fonti non attendibili. Hanno osservato che i malintenzionati di solito sfruttano siti web di software non ufficiali per distribuire applicazioni dannose e che gli utenti di tali siti web devono essere consapevoli di questo rischio.
Tuttavia, hanno notato che questo malware presenta un problema ancora più grande, in quanto fornisce un modo ingegnoso agli aggressori per accedere ai sistemi infetti. Pertanto, è possibile che i creatori decidano di utilizzarlo per scopi diversi dal semplice targeting degli utenti di criptovalute e inizino a venderlo a malintenzionati più pericolosi.
