(Adnkronos) - Milano, 5 giugno 2023. Kaspersky ha scoperto una nuova campagna Satacom,che utilizza un’estensione malevola nei browser Chrome, Brave e Opera per rubare criptovalute alle vittime. Quasi 30.000 utenti nel corso degli ultimi due mesi hanno rischiato di essere attaccati. Gli aggressori hanno messo in atto una serie di
La campagna è legata al Downloader Satacom, una nota famiglia di malware attiva dal 2019 e distribuita principalmente via malvertising su siti di terze parti. I link o gli annunci malevoli reindirizzano gli utenti a falsi servizi di file-sharing e altre pagine che permettono di scaricare un archivio contenente il Downloader Satacom. In questo caso specifico, viene scaricata l’estensione dannosa.
L’ultima campagna installa un’estensione del browser che ruba le criptovalute e nasconde la propria attività
L’obiettivo della campagna è rubare bitcoin (BTC) dai conti delle vittime effettuando web injection su siti specifici di criptovalute. Tuttavia, il malware può essere facilmente modificato per attaccare altre criptovalute. Infatti, installa un’estensione per i browser basati su Chromium – come Chrome,Brave e Opera – e prende di mira i singoli utenti che possiedono criptovalute in tutto il mondo. Secondo la telemetria di Kaspersky,tra aprile e maggio, quasi 30.000 utenti hanno rischiato di essere vittime della campagna. I Paesi più colpiti negli ultimi due mesi sono stati: Brasile, Messico, Algeria, Turchia, India, Vietnam e Indonesia.
L’estensione malevola modifica i browser mentre l’utente naviga sui siti di cryptocurrency exchange. La campagna colpisce gli utenti di Coinbase, Bybit, Kucoin, Huobi e Binance. Oltre a rubare le criptovalute, l’estensione esegue azioni aggiuntive per occultare l’attività principale, ad esempio nasconde le email di conferma delle transazioni e modifica i thread delle email esistenti così da creare thread falsi similia quelli veri.
In questa campagna, gli attori delle minacce non hanno bisogno di trovare modi per accedere agli store ufficiali delle estensioni, poiché utilizzano il Downloader Satacom. L’infezione inizia con un file ZIP, scaricato da un sito che simula i portali software, così da permettere all’utente di effettuare il download gratuito del software desiderato (spesso craccato). Satacom di solito scarica vari file binari sul computer della vittima.In questo caso, i ricercatori di Kaspersky hanno scoperto che è stato lo script PowerShell a eseguire l’installazione dell’estensione malevola nel browser.
Successivamente, una serie di azioni dannose permette all’estensione di funzionare indisturbata, mentre l’utente naviga su internet. Di conseguenza, gli attori delle minacce sono capaci di trasferire i BTC dal portafoglio delle vittime al proprio,grazie l’utilizzo di web injection.
"I cybercriminali hanno migliorato l’estensione aggiungendo la capacità di controllarla attraverso modifiche agli script. Ciò significa che possono facilmente iniziare a prendere di mira altre criptovalute. Inoltre, dato che l’estensione è basata sul browser, può colpire le piattaforme Windows, Linux e macOS. Per precauzione, si consiglia agli utenti di controllare regolarmente i propri account in modo da notare attività sospette e di utilizzare soluzioni di sicurezza affidabili per proteggersi da minacce come queste”, ha dichiarato Haim Zigel, Malware Analyst di Kaspersky.
L’analisi tecnica del malware è disponibile su Securelist.
Per massimizzare i vantaggi dell’utilizzo sicuro delle criptovalute, gli esperti di Kaspersky raccomandano di:
•Fare attenzione alle truffe di phishing dal momento che i truffatori utilizzano email di phishing per indurre gli utenti a rivelare credenziali di login o private keys. Controllare sempre l’URL del sito e non cliccare su link sospetti.
•Non condividere con nessuno le private keys che aprono il portafoglio delle criptovalute.
•Essere aggiornati sulle ultime minacce e best practice per proteggere le proprie criptovalute. Più si è informati in materia di protezione, più si sarà in grado di prevenire eventuali attacchi informatici.
•Prima di investire in una criptovaluta, bisogna fare una ricerca approfondita sul progetto e sul team che lo sostiene. Controllare il sito del progetto, il white paper, e i canali social per assicurarsi che sia legittimo.
•Usare soluzioni di sicurezza che proteggono i dispositivi da qualsiasi tipo di minaccia. Kaspersky Premium previene le frodi conosciute e sconosciute di criptovalute e anche dall’utilizzo non autorizzato della potenza di elaborazione del computer per estrarre le criptovalute.
