I ricercatori di Kaspersky hanno individuato una nuova tecnica usata dai cybercriminali per rubare le criptovalute durante le transazioni. Il malware è nascosto negli installer modificati del browser Tor distribuiti da siti di terze parti. Gli attacchi sono stati effettuati principalmente contro utenti dell’est Europa. Il consiglio è utilizzare una soluzione di sicurezza che rileva questo tipo di minaccia.
Accesso all’indirizzo del wallet negli appunti
La Russia ha bloccato l’accesso ai sito del Tor Project a fine 2021, in quanto molti cittadini usano il browser per aggirare la censura. Ignoti cybercriminali hanno subito sfruttato l’occasione per distribuire versioni modificate dell’installer che supportano solo specifiche lingue, tra cui il russo.
Il pacchetto RAR SFX include l’eseguibile legittimo del browser Tor, il tool per l’estrazione a linea di comando e un archivio RAR protetto da password. Quando viene eseguito il browser, dal file SFX viene estratto il malware in background nella directory AppData. All’eseguibile viene assegnata l’icona di uTorrent per ingannare l’utente.
Gli indirizzi dei wallet sono piuttosto lunghi e complessi, quindi gli utenti usano il tradizionale copia e incolla. Il malware monitora gli appunti di Windows (clipboard) per identificare un indirizzo di varie criptovalute, tra cui Bitcoin, Litecoin, Ethereum, Dogecoin e Monero. L’indirizzo viene quindi sostituito con quello dei waller gestiti dai cybercriminali.
Kaspersky ha rilevato quasi 16.000 attacchi in oltre 50 paesi. Dopo aver scoperto gli indirizzi e analizzato le blockchain, i ricercatori hanno stimato furti di criptovalute per oltre 400.000 dollari. Il consiglio principale è quello di scaricare il browser solo dal sito ufficiale. Per evitare rischi è comunque utile un antivirus che può bloccare questo e altri tipi di malware.
Ti potrebbe interessare
30 mar 2023