Questo malware è stato ideato appositamente per i furti di crypto valuta, e agisce attaccando gli utenti nel momento in cui copiano e incollano i numeri del portafoglio elettronico del destinatario, durante le operazioni di pagamento.
I crypto stealer sono stati individuati per la prima volta diversi anni fa. Ora però, a causa del recente boom della cryptovaluta in tutto il mondo, sono tornati a mettere a repentaglio i risparmi degli utenti. Indagando su questi fatti, i ricercatori di Kaspersky Labhanno scoperto un nuovo malware – il Trojan CryptoShuffler. Questo malware è stato ideato appositamente per i furti di crypto valuta, e agisce attaccando gli utenti nel momento in cui copiano e incollano i numeri del portafoglio elettronico del destinatario, durante le operazioni di pagamento.
Attacchi detti “clipboard hijacking” simili a questi si sono già verificati in precedenza in the wild, prendendo di mira sistemi di pagamento online. Nonostante ciò, gli esperti ritengono che i casi che coinvolgono un indirizzo host di cryptovaluta siano al momento rari.
Secondo una ricerca di Kaspersky Lab, da anni sta già operando un creatore di un Trojan CryptoShuffler, che prende di mira le più famose cryptovalute come Bitcoin, Ethereum, Zcash, Dash, Monero e altri. L’apice di questa attività criminale è stato alla fine dell’anno scorso, seguito da un periodo di calma, durato fino a giugno 2017. A oggi un criminale è già riuscito ad attaccare con successo i portafogli Bitcoin, rubando 23 BTC, l’equivalente di circa 140 000 dollari. La somma totale rubata da altri wallet varia da pochi dollari a diverse migliaia.
Nella maggior parte delle cryptovalute, se un utente vuole trasferire del cryptodenaro a un altro utente, deve conoscere l’ID del wallet del destinatario – un numero unico a più cifre.
Il meccanismo con cui agisce CryptoShuffler è molto semplice ed efficace. Una volta avviato, il Trojan inizia a monitorare i clipboard dei dispositivi infettati. Gli utenti utilizzano questa funzione del software durante l’atto di pagamento: copiano i numeri del wallet e li incollano nello spazio riservato all’indirizzo del destinatario all’interno del software che stanno utilizzando per compiere la loro transazione. Ma il Trojan sostituisce l’indirizzo del portafoglio dell’utente con uno di proprietà del creatore del malware. Quindi, quando l’utente incolla l’ID del wallet nello spazio dedicato all’indirizzo, non sta copiando l’indirizzo al quale originariamente intendeva inviare denaro. Di conseguenza, la vittima trasferisce il proprio denaro direttamente ai criminali – con un inganno che solo gli utenti più esperti sono in grado di individuare.
Il Trojan sostituisce la destinazione in pochi millisecondi. Questa operazione è possibile perché è molto semplice individuare l’indirizzo del wallet, in quanto la maggior parte degli indirizzi dei wallet di cryptovaluta hanno le stesse cifre iniziali e un certo numero di caratteri. Di conseguenza, gli intrusi possono creare facilmente codici per sostituirli.
Agendo in questo modo, i criminali sfruttano la mancanza di attenzione degli utenti, che solitamente non controllano i loro numeri a più cifre. Inoltre, gli indirizzi dei wallet nella blockchain sono complicati e difficili da memorizzare. Gli utenti quindi non prestano molta attenzione a controllare bene i dettagli della transazione, anche se si trovano di fronte ai loro occhi e anche solo un piccolo cambiamento possa costare molto.
“La cryptovaluta non è più una tecnologia del futuro. Sta diventando parte della nostra quotidianità e si sta diffondendo in tutto il mondo, diventando da una parte più accessibile agli utenti, dall’altra un obbiettivo più attraente per i criminali. Di recente, abbiamo osservato un aumento nel numero degli attacchi malware, indirizzati a diversi tipi di cryptovalute e ci aspettiamo che questo trend continui in futuro. Quindi gli utenti che considerano gli investimenti in cryptovaluta dovrebbero pensare di proteggere i loro investimenti molto attentamente”, afferma Sergey Yunakovsky, malware analyst di Kaspersky Lab.
Il Trojan CryptoShuffler non è l’unico malware che sta prendendo di mira i risparmi in cryptovaluta degli utenti. Come indicato nel recente report di Kaspersky Lab sulle “mining botnet” gli esperti hanno inoltre riscontrato un altro Trojan che utilizza la cryptovaluta Monero: il DiscordiaMiner. Questo è stato progettato per caricare ed eseguire file da un server remoto. Secondo la ricerca, esistono delle somiglianze nel modo di operare del Trojan NukeBot, che è stato scoperto nella prima parte dell’anno corrente.
Esiste un modo per tenere al sicuro i risparmi in cryptovaluta e non riempire le tasche dei criminali? Il metodo più semplice e gratuito è quello di prestare molta attenzione durante le transazioni e controllare sempre che il numero del wallet elencato nello spazio di inserimento dell’indirizzo di destinazione sia quello corretto al quale inviare denaro. È necessario essere consapevoli dell’esistenza di una differenza tra un indirizzo non valido e uno scorretto. Nel primo caso, l’errore viene individuato e la transazione non andrà a buon fine. Nel secondo invece, il denaro sparirà.