Kaspersky scopre la campagna Satacom che ruba le criptovalute attraverso un’estensione del browser
Kaspersky ha scoperto una nuova campagna Satacom, che utilizza un’estensione malevola nei browser Chrome, Brave e Opera per rubare criptovalute alle vittime. Quasi 30.000 utenti nel corso degli ultimi due mesi hanno rischiato di essere attaccati. Gli aggressori hanno messo in atto una serie di operazioni malevole per evitare che l’estensione possa essere rilevata, mentre gli utenti navigano sui siti di exchange di criptovalute colpiti, tra cui Coinbase e Binance.
Inoltre, l’estensione permette agli attori delle minacce di nascondere qualsiasi notifica di transazione avvenuta, che viene inviata alle vittime da questi siti. Il report dettagliato della campagna è disponibile su Securelist.
La campagna è legata al Downloader Satacom, una nota famiglia di malware attiva dal 2019 e distribuita principalmente via malvertising su siti di terze parti. I link o gli annunci malevoli reindirizzano gli utenti a falsi servizi di file-sharing e altre pagine che permettono di scaricare un archivio contenente il Downloader Satacom. In questo caso specifico, viene scaricata l’estensione dannosa.
L’ultima campagna installa un’estensione del browser che ruba le criptovalute e nasconde la propria attività
L’obiettivo della campagna è rubare bitcoin (BTC) dai conti delle vittime effettuando web injection su siti specifici di criptovalute. Tuttavia, il malware può essere facilmente modificato per attaccare altre criptovalute. Infatti, installa un’estensione per i browser basati su Chromium – come Chrome, Brave e Opera – e prende di mira i singoli utenti che possiedono criptovalute in tutto il mondo. Secondo la telemetria di Kaspersky, tra aprile e maggio, quasi 30.000 utenti hanno rischiato di essere vittime della campagna.
I Paesi più colpiti negli ultimi due mesi sono stati: Brasile, Messico, Algeria, Turchia, India, Vietnam e Indonesia.
Paesi Utenti colpiti
Brasile 3.996
Messico 2.056
Algeria 1.790
Turchia 1.418
India 1.127
Vietnam 1.010
Indonesia 1.003
Classifica dei Paesi per numero di utenti attaccati, tra aprile e maggio 2023
L’estensione malevola modifica i browser mentre l’utente naviga sui siti di cryptocurrency exchange. La campagna colpisce gli utenti di Coinbase, Bybit, Kucoin, Huobi e Binance. Oltre a rubare le criptovalute, l’estensione esegue azioni aggiuntive per occultare l’attività principale, ad esempio nasconde le email di conferma delle transazioni e modifica i thread delle email esistenti così da creare thread falsi simili a quelli veri.
Il modello del thread falso
In questa campagna, gli attori delle minacce non hanno bisogno di trovare modi per accedere agli store ufficiali delle estensioni, poiché utilizzano il Downloader Satacom. L’infezione inizia con un file ZIP, scaricato da un sito che simula i portali software, così da permettere all’utente di effettuare il download gratuito del software desiderato (spesso craccato). Satacom di solito scarica vari file binari sul computer della vittima. In questo caso, i ricercatori di Kaspersky hanno scoperto che è stato lo script PowerShell a eseguire l’installazione dell’estensione malevola nel browser.
Successivamente, una serie di azioni dannose permette all’estensione di funzionare indisturbata, mentre l’utente naviga su internet. Di conseguenza, gli attori delle minacce sono capaci di trasferire i BTC dal portafoglio delle vittime al proprio, grazie l’utilizzo di web injection.
“I cybercriminali hanno migliorato l’estensione aggiungendo la capacità di controllarla attraverso modifiche agli script. Ciò significa che possono facilmente iniziare a prendere di mira altre criptovalute. Inoltre, dato che l’estensione è basata sul browser, può colpire le piattaforme Windows, Linux e macOS.
Per precauzione, si consiglia agli utenti di controllare regolarmente i propri account in modo da notare attività sospette e di utilizzare soluzioni di sicurezza affidabili per proteggersi da minacce come queste”, ha dichiarato Haim Zigel, Malware Analyst di Kaspersky.
L’analisi tecnica del malware è disponibile su Securelist.
Per massimizzare i vantaggi dell’utilizzo sicuro delle criptovalute, gli esperti di Kaspersky raccomandano di:
⦁ Fare attenzione alle truffe di phishing dal momento che i truffatori utilizzano email di phishing per indurre gli utenti
a rivelare credenziali di login o private keys. Controllare sempre l’URL del sito e non cliccare su link sospetti.
⦁ Non condividere con nessuno le private keys che aprono il portafoglio delle criptovalute.
⦁ Essere aggiornati sulle ultime minacce e best practice per proteggere le proprie criptovalute. Più si è informati in materia di protezione, più si sarà in grado di prevenire eventuali attacchi informatici.
⦁ Prima di investire in una criptovaluta, bisogna fare una ricerca approfondita sul progetto e sul team che lo sostiene. Controllare il sito del progetto, il white paper, e i canali social per assicurarsi che sia legittimo.
⦁ Usare soluzioni di sicurezza che proteggono i dispositivi da qualsiasi tipo di minaccia. ⦁ Kaspersky Premium previene le frodi conosciute e sconosciute di criptovalute e anche dall’utilizzo non autorizzato della potenza di elaborazione del computer per estrarre le criptovalute.
Informazioni su Kaspersky
Kaspersky è un’azienda globale di sicurezza informatica e digital privacy fondata nel 1997. Le profonde competenze in materia di Threat Intelligence e sicurezza si trasformano costantemente in soluzioni e servizi innovativi per proteggere aziende, infrastrutture critiche, governi e utenti in tutto il mondo.
Il portfolio completo di sicurezza dell’azienda comprende una protezione leader degli endpoint e diverse soluzioni e servizi di sicurezza specializzati per combattere le sofisticate minacce digitali in continua evoluzione. Oltre 400 milioni di utenti sono protetti dalle tecnologie Kaspersky e aiutiamo 220.000 aziende a tenere al sicuro ciò che più conta per loro. Per ulteriori informazioni è possibile consultare https://www.kaspersky.it/
