Investitori Bitcoin presi di mira da una nuova campagna di phishing

0
13
Investitori Bitcoin presi di mira da una nuova campagna di phishing
Investitori Bitcoin presi di mira da una nuova campagna di phishing

Bene, il prezzo della popolare criptovaluta Bitcoin ha visto una crescita enorme quest’anno. Pertanto, non solo ha attirato l’interesse di acquirenti e investitori, ma ha anche attirato l’interesse dei criminali informatici, poiché di recente i ricercatori di sicurezza hanno avvertito che gli investitori di Bitcoin sono presi di mira da una nuova campagna di phishing.

Investitori Bitcoin presi di mira da una nuova campagna di phishing

Anche se sembrava che gli utenti non avessero più lo stesso interesse, negli ultimi mesi il valore delle criptovalute è aumentato, il che ha fatto tornare l’interesse agli utenti. Solo gli utenti? No, anche ai criminali informatici. Gli esperti di sicurezza hanno rilevato una minaccia nota con il nome Orcus che sta infettando apparecchiature per rubare criptovalute da borse o portafogli esistenti.

Il processo inizia con un’e-mail di phishing, come accade nella maggior parte dei casi. Il corpo parla di nuovi software per eseguire il mining e la gestione delle monete. Il nome è Gunbot ed è sviluppato da GuntherLab, o almeno, che viene indicato nella mail.

Ma la realtà è molto diversa. Quando l’utente accede al link per avviare il download, quello che verrà effettivamente salvato sul computer è l’installer di Orcus, la minaccia che ci riguarda.

Gli esperti di sicurezza hanno riscontrato situazioni in cui un file compresso contenente uno script VisualBasic programmato per scaricare un’applicazione mimetizzata sotto forma di JPEG è allegato all’e-mail stessa. Diverse società di sicurezza hanno condotto l’analisi dell’attacco, indicando che i criminali informatici non hanno fatto molti sforzi per nascondere le loro affermazioni.

Dettagli su Orco

Una volta completato il download, l’eseguibile esegue l’installazione di uno strumento open-source che consente gli inventari del computer a livello di sistema operativo. Innocuo? No. Il suo codice è stato modificato per eseguire la decrittazione di un codice .NET allegato che verrà caricato direttamente in memoria. Questa utility ha il punto a favore del caricamento di moduli in memoria che passa completamente inosservato di fronte agli strumenti di sicurezza.

Inutile dire che l’attacco è concentrato su computer con sistema operativo Windows. Una volta che tutti i moduli Orcus sono stati inizializzati, la persona all’altra estremità ha il controllo totale dell’attrezzatura e delle informazioni che vengono introdotte.

Funzioni dell’Orco

È un RAT, ovvero un Trojan che consente l’accesso remoto al dispositivo. Gli esperti di sicurezza hanno condotto un’analisi completa della minaccia. Consente all’attaccante di eseguire comandi con i privilegi dell’account utilizzato nel sistema. Ha la funzione keylogger, per inserire le informazioni inserite tramite la tastiera. Un’altra caratteristica che ha attirato l’attenzione è la possibilità di disabilitare il LED della webcam.

Un’altra funzione disponibile è l’uso dell’apparecchiatura per eseguire attacchi Denial of Service. È stato persino rilevato che è in grado di modificare le impostazioni proxy dei browser Web del sistema per reindirizzare l’utente a pagine Web false. E non solo, anche i computer infetti sono controllati da un unico server.

Gli esperti di sicurezza esortano gli utenti a prendere precauzioni durante il download di contenuti, soprattutto perché nel caso Orcus, l’attività di minaccia non viene rilevata dagli strumenti di sicurezza poiché si tratta di un software legittimo che è stato modificato.

Allora, cosa ne pensi di questo? Condividi semplicemente le tue opinioni e pensieri nella sezione commenti qui sotto.

LEAVE A REPLY

Please enter your comment!
Please enter your name here