Microsoft ha segnalato un malware per Windows che ruba frasi di recupero, chiavi e portafogli tramite Tor e unità USB

Microsoft ha segnalato un programma dannoso che opera silenziosamente da febbraio e prende di mira i computer Windows. Il programma, denominato CryptoBandits, è in grado di rubare frasi di recupero, chiavi e portafogli tramite la rete Tor e può essere trasferito tramite unità USB. 

In un post pubblicato il 17 giugno, gli esperti di Microsoft Threat Intelligence e Microsoft Defender hanno smascherato una campagna dannosa che ha svuotato i portafogli di criptovalute senza che le vittime se ne accorgessero. Gli esperti di sicurezza Microsoft hanno descritto una combinazione di vecchie tattiche di worm USB e moderni strumenti di anonimato che hanno reso il programma dannoso non rilevabile per mesi.

Secondo i ricercatori, la campagna malevola era in grado di eseguire, all'interno di un unico programma, il furto di dati dagli appunti, la sostituzione degli indirizzi del portafoglio, la diffusione di malware tramite worm e la comunicazione basata su Tor. Il programma manteneva inoltre l'accesso al computer locale anche molto tempo dopo l'esecuzione del codice malevolo. 

Microsoft spiega come si esegue l'infezione

Il post dettagliato sul blog di Microsoft ha rivelato che l'infezione è iniziata nel modo tradizionale, tramite una chiavetta USB. Il malware ha quindi avuto accesso ai file di collegamento inseriti nelle unità rimovibili. Una volta inserita in un computer, la componente worm si attiva immediatamente. 

Il worm individua file comuni come DOC, fogli di calcolo e PDF sul dispositivo, nasconde quelli originali e li sostituisce con falsi collegamenti che ne riportano gli stessi nomi. Una volta completata questa operazione, gli ignari utenti Windows cliccano sui collegamenti, pensando di aprire un normale file Word o Excel, ma in realtà l'azione attiva il malware.

Il malware si diffonde quindi all'unità USB del computer e imposta attività pianificate per mantenerla in esecuzione anche dopo un riavvio, escludendosi dalle scansioni di Microsoft Defender. 

Quando il programma dannoso viene effettivamente attivato nella seconda fase, il payload basato su script si avvale di Windows ScriptHost e oggetti ActiveX anziché di un tipico programma di installazione, rendendone estremamente difficile il rilevamento. 

Una volta predisposto tutto, il malware avvia un client Tor in una finestra nascosta e genera un ID vittima univoco, registrandosi presso un server di comando e controllo nascosto dietro un indirizzo .onion di Tor. In questo modo, il malware può trasmettere informazioni attraverso questo canale nascosto senza essere rilevato. 

Microsoft spiega perché questo malware è più difficile da individuare

Il team di sicurezza di Microsoft ha spiegato che il malware entra in un ciclo infinito, interrogando gli operatori e scansionando gli appunti all'incirca ogni mezzo secondo. Il programma è specificamente progettato per riconoscere le frasi di recupero BIP39 di 12 o 24 parole. 

Il malware esegue la scansione delle Ethereum e Bitcoin in formato WIF, ne salva una copia di backup in locale e la invia al server degli aggressori tramite la rete Tor. È progettato per ripetere la stessa sequenza di operazioni più volte fino al completamento dell'invio. Il programma elimina quindi la copia locale solo dopo un invio riuscito e scatta diverse schermate al secondo, fornendo agli aggressori una panoramica visiva del saldo e dell'attività del portafoglio della vittima. 

Se un indirizzo di portafoglio viene copiato negli appunti, il malware può sostituirlo con uno controllato dall'attaccante prima che la vittima lo incolli. Copiando un indirizzo Bitcoin per inviare un pagamento, ciò che effettivamente finisce nel campo "Destinatario" potrebbe appartenere a qualcun altro.

Microsoft Defender Antivirus ora segnala la minaccia come Trojan:Win32/CryptoBandits.A e Defender for Endpoint monitora comportamenti come processi JavaScript sospetti ed esfiltrazione di dati tramite curl.