Gli utenti di YouTube sono avvisati dei video che promuovono furtivamente un Trojan che ruba la password
Ad aprile, i ricercatori della sicurezza di Fortinet hanno parlato di una campagna in corso che stava diffondendo un malware che rubava informazioni chiamato Predator the Thief. La campagna in questione era attiva da almeno luglio 2018 ed era rivolta agli utenti di lingua russa. Gli operatori di malware avevano acquistato Predator il ladro dal suo autore su un forum di hacking e lo stavano distribuendo con l'aiuto di file eseguibili accuratamente realizzati allegati a e-mail e in posa come documenti Word.
È difficile dire se questa particolare banda di criminali informatici stia ancora diffondendo Predator. Quello che sappiamo, tuttavia, è che al momento esiste un'altra campagna. Si rivolge a una gamma molto più ampia di utenti e utilizza un vettore di infezione relativamente non convenzionale.
Table of Contents
Predator the Thief attacca gli appassionati di bitcoin che vogliono fare soldi in fretta
Lo schema è tanto semplice quanto intelligente. Tutto ciò che i criminali devono fare è attirare gli utenti ingenui su un video di YouTube e quindi sperare che gli spettatori saranno troppo tentati dal sistema del denaro per niente per notare che qualcosa non va bene.
Nonostante il fatto che l'intera campagna sia stata discussa attivamente per un paio di giorni, il video in questione è ancora attivo e accessibile a chiunque. Vedendolo, possiamo sicuramente vedere perché alcuni utenti si innamorerebbero di questo. Non è una semplice pubblicità. È un video didattico di quattro minuti che mostra presumibilmente come funziona lo schema.
Apparentemente, devi semplicemente scaricare e installare uno strumento e quindi inserire l'indirizzo del portafoglio che vuoi scaricare insieme ad alcune altre informazioni. Il programma fa la sua magia, e poche ore dopo, hai una versione crittografata della chiave privata importantissima. La decodifica richiede un po 'più di tempo, ma alla fine il video suggerisce che sarai in grado di recuperare i bitcoin di qualcun altro senza alcuno sforzo.
E sai qual è la parte migliore? C'è un link allo strumento di recupero della chiave privata nella descrizione del video.
In effetti, ci sono tre collegamenti che portano allo stesso file ospitato su tre piattaforme diverse: Yandex Disk, Google Drive e Mega. Nel tentativo frenetico di mettere a proprio agio gli utenti sospetti, l'autore del video afferma che, poiché i collegamenti portano a servizi di cloud hosting legittimi, il file non può essere infettato da malware. Dato che hai letto questo, probabilmente non sarai troppo sorpreso di sapere che lo è.
Come funziona Predator the Thief
Lo schema è stato scoperto per la prima volta da un ricercatore di sicurezza indipendente che gestisce Twitter @0xFrost e l'operazione di malware è stata successivamente analizzata da Bleeping Computer.
Gli utenti che si innamorano della truffa scaricano un archivio ZIP chiamato Crypto World.zip che contiene un eseguibile dall'aspetto innocuo chiamato setup.exe. Questo è il trojan stesso e, quando gli esperti lo hanno esaminato, aveva un tasso di rilevamento molto basso su Virus Total, il che dimostra che gli autori di malware hanno aggiunto alcune nuove funzionalità alla loro creazione per renderlo più invisibile. setup.exe estrae e rilascia un altro eseguibile che comunica con il server Command & Control (C&C) e si occupa dell'operazione principale di furto di informazioni.
Immediatamente, il malware è progettato per rubare l'accesso e altri dati da browser, applicazioni di gioco online, FTP, VPN e client di messaggistica istantanea e servizi di autenticazione a due fattori. Può anche utilizzare la webcam del dispositivo per scattare foto e registrare video, raschiare gli appunti e persino rubare file specifici. I moduli aggiuntivi scaricati da C&C possono ampliare ulteriormente le sue capacità.
Sfortunatamente, nessuno sa quante persone Predator il Ladro ha già colpito e che tipo di informazioni sono state rubate. Dato che il video che avvia l'intera catena di infezione è ancora in diretta, tuttavia, consigliamo ai fan della criptovaluta di prestare particolare attenzione. Questo, intendiamoci, è qualcosa che dovrebbero già sapere.
Fai attenzione alle truffe legate alla criptovaluta
Questo non è il primo schema get-rich-quick relativo a bitcoin e, con ogni probabilità, non sarà l'ultimo. È un peccato che Google stia impiegando così tanto tempo per eliminare il video da YouTube, ma la verità è che, dopo che sarà offline, i criminali troveranno altri modi per venderti qualcosa che sembra troppo bello per essere vero e probabilmente lo è. Il semplice fatto è che se sei in criptovaluta, devi essere costantemente alla ricerca di persone che cercano di truffarti dei tuoi soldi e/o dati.
