Il nuovo Masad Stealer e Clippper si rivolgono agli investitori in criptovaluta
Dire che gli investitori in criptovaluta sono stati su una corsa selvaggia negli ultimi anni sarebbe un eufemismo. Ciò che una volta era salutato come il denaro del futuro si è dimostrato piuttosto instabile e la volatilità del mercato ha allontanato molte persone dal concetto di possedere denaro digitale. Il commercio sta ancora andando avanti, e ci sono parecchi criminali informatici disposti a ottenere anche un pezzo del azione. I creatori di Masad Stealer e Clipper, ad esempio, hanno escogitato alcuni modi interessanti di (tra le altre cose) rubare monete digitali ignare degli utenti.
I ricercatori dei Juniper Threat Labs sono stati i primi ad analizzare e commentare il malware la scorsa settimana . Non hanno detto quando hanno visto Masad per la prima volta, ma hanno notato che in totale hanno visto più di 1.000 campioni usati in circa 340 campagne separate.
Masad - un potente malware che ruba informazioni che chiunque può acquistare
Naturalmente, non tutte queste campagne sono gestite dallo stesso gruppo di criminali. Masad è in realtà un malware standard che può aspirare a comprare cybercuffi con qualche moneta in tasca. è anche una versione gratuita, anche se secondo gli esperti, viene fornita con funzionalità limitate. La variante completa di campane e fischietti è piuttosto potente, costa $ 85 e i potenziali clienti possono ottenerla attraverso un gruppo Telegram che, quando gli esperti di Juniper hanno verificato, contava poco più di 300 utenti attivi.
Come funziona Masad
La stessa chat di gruppo viene utilizzata anche per il supporto tecnico e il fatto che i truffatori abbiano scelto questa particolare applicazione per comunicare con i propri clienti probabilmente non dovrebbe essere così sorprendente. Il malware stesso utilizza il servizio di chat crittografato come canale Command & Control (C&C), il che significa che è meno probabile che venga individuato perché il protocollo Telegram viene utilizzato per scopi completamente legittimi da oltre 200 milioni di persone.
A seconda della campagna, gli utenti possono trovare Masad come file autonomo o in bundle con altre applicazioni. Gli esperti hanno visto tentare di impersonare strumenti di ottimizzazione del sistema come CCleaner, utilità integrate di Windows, nonché programmi di cracking per videogiochi e software a pagamento.
Dopo esecuzione, Masad si ritira nella cartella% AppData% e stabilisce la persistenza con aiuto di un attività pianificata che la esegue una volta ogni sessanta secondi. Quindi, inizia operazione di raccolta delle informazioni.
Quando i ricercatori hanno eseguito Masad nella loro sandbox, il malware non è riuscito a rubare così tanto. Alcuni dati di sistema sono stati salvati in un file TXT, i cookie del browser e i file del desktop sono stati organizzati in due cartelle separate e tutto questo, insieme a uno screenshot di tutto ciò che la vittima stava vedendo, è stato automaticamente inserito in un archivio 7Z e preparato per essere inviato a un bot di Telegram controllato dagli operatori.
Quando hanno esaminato il codice del malware, tuttavia, gli esperti hanno visto che Masad è in grado di rubare molto di più. Il malware può raccogliere ed esfiltrare qualsiasi cosa dai file Steam, attraverso tutti i tipi di portafogli di criptovaluta, fino a password e carte di credito salvate con i browser web . Monetizzare su tutti quei dati potrebbe essere piuttosto redditizio, ma per essere sicuri, i creatori di Masad hanno aggiunto un altro trucco che può aiutarli a guadagnare ancora più criptovalute.
Il malware è progettato per monitorare costantemente gli Appunti del dispositivo infetto. Se pensa che la vittima abbia copiato un indirizzo di criptovaluta, Masad lo scambia automaticamente con un indirizzo che gli autori del malware hanno precedentemente inserito nel malware. In questo modo, se utente non individua il diverso indirizzo quando lo incolla nel campo previsto, la criptovaluta viene reindirizzata a un portafoglio controllato dai truffatori.
È una tattica interessante che sembra essere piuttosto efficace. I ricercatori di Juniper hanno esaminato un portafoglio utilizzato durante una delle campagne e hanno visto che al 15 settembre aveva già ricevuto più di $ 9.000, anche se hanno sottolineato che non è modo di sapere se intero importo è il risultato della campagna di Masad.
In ogni caso, Masad è chiaramente una formidabile minaccia non solo per gli investitori in criptovaluta, ma per tutti. Come sempre, proteggersi da esso comporta il download di software legittimo solo da fonti legittime e il mantenimento di un sistema ben protetto e completamente aggiornato.
