Bitcoin: occhio, phishing in corso!

L'impennata del valore della criptovaluta più famosa fa gola ai cyber-criminali, che stanno attuando numerose campagne di spam e phishing, al fine di svuotare più portafogli possibili
L'impennata del valore della criptovaluta più famosa fa gola ai cyber-criminali, che stanno attuando numerose campagne di spam e phishing, al fine di svuotare più portafogli possibili

Il valore del bitcoin ha subito recentemente un’ulteriore impennata, passando dagli 11.000 dollari, di lunedì 4 dicembre, agli attuali 16.000 . Una conseguenza diretta di questa crescita esponenziale è l’aumento dell’attività cyber-criminale in relazione alla criptovaluta, al fine di rubare portafogli bitcoin, attraverso campagne massive di phishing, oppure andando direttamente alla fonte, hackerando i siti web dei principali exchange.

Una campagna di phishing di questo tipo è stata recentemente rilevata da Fortinet : una mail che sponsorizza un trading bot per bitcoin realmente esistente, Gunbot, contiene in realtà un allegato malevolo, nello specifico uno script VB che va a scaricare un eseguibile portable per Windows , spacciandolo per un’innocua immagine JPEG.

Questo eseguibile va ad installare un innocuo software di inventory, che tuttavia contiene al suo interno tre file: Orcus RAT (Remote Administration Tool), un malware che consente l’amministrazione remota dell’intero sistema ai cyber-criminali, il modulo RunPE , che consente di eseguire moduli sotto applicazioni legittime, evitando addirittura di scrivere i relativi file su disco, un tool di tipo watchdog per mantenere il malware in esecuzione, nel caso in cui l’utente tenti di terminarne il processo.

orcus rat e bitcoin

Come ciliegina sulla torta della suddetta campagna, vi sono i redirezionamenti verso siti fake identici a Gunthy , società produttrice di Gunbot, e al noto forum Bitcointalk : dal primo sito fake era possibile scaricare un ulteriore file, che è già stato rimosso – fortunatamente – dal servizio di hosting che lo conteneva.

Ulteriori campagne di phishing sono state riportate da Bleeping Computer : in questo caso, le vittime sono il wallet Blockchain.info ed l’exchange LocalBitcoins, uno dei pochi che consente la compravendita della criptovaluta direttamente tra gli utenti; infine, il misterioso esperto di cyber-security x0rz ha rilevato un’ulteriore campagna in corso ai danni dell’exchange Bittrex , attuata attraverso un sito fake ospitato dal provider Namecheap, il quale tuttavia ha, per il momento, respinto le accuse.

Link copiato negli appunti

Ti potrebbe interessare

12 12 2017
Link copiato negli appunti