Nessun risultato. Prova con un altro termine.
Guide
Notizie
Software
Tutorial

Una campagna malware colpisce i cybercriminali: cosa sta succedendo?

Casi di "cannibalizzazione" tra cybercriminali? Nel Dark Web non c'è pietà per i criminali informatici meno esperti.
Una campagna malware colpisce i cybercriminali: cosa sta succedendo?
Casi di "cannibalizzazione" tra cybercriminali? Nel Dark Web non c'è pietà per i criminali informatici meno esperti.
Link copiato negli appunti

La società impegnata nel contesto della sicurezza informatica nota come Kasada, ha individuato una campagna malware alquanto particolare.

A quanto pare, si tratta di una minaccia che utilizza file di configurazione OpenBullet, prendendo di mira cybercriminali alle prime armi e infettando le loro macchine con trojan di accesso remoto (RAT).

OpenBullet è uno strumento di pen testing open source che funziona attraverso un file di configurazione che permette di combinare liste di password a un sito. Attraverso questo tool di fatto, è possibile registrare i tentativi riusciti di violazione d'accesso, provando un numero enorme di parole chiave.

Secondo Kasada "OpenBullet può essere utilizzato con Puppeteer, che è un browser senza testa che può essere utilizzato per automatizzare le interazioni Web" aggiungendo poi come "Questo rende molto facile lanciare attacchi che prevedono il compilamento delle credenziali senza dover gestire più finestre del browser che si aprono".

I cybercriminali meno esperti sono presi di mira dai "colleghi" più smaliziati attraverso OpenBullet

Questo strumento, di per sé non pericoloso per i novelli cybercriminali, viene in realtà sfruttato dai più esperti per "cannibalizzarli".

I criminali informatici utilizzano OpenBullet per estrarre liste di credenziali dai vari siti, andando a rivendere le stesse sul Dark Web. Questo mercato nero, però, alcune volte può nascondere insidie.

La campagna scoperta da Kasada utilizza configurazioni dannose condivise su un canale Telegram legate al suddetto strumento, adoperate per raggiungere un repository GitHub e recuperare un dropper scritto in Rust chiamato Ocean, progettato per recuperare il payload della fase successiva dallo stesso repository.

L'eseguibile, un malware basato su Python denominato Patent, alla fine lancia un trojan di accesso remoto che utilizza Telegram come meccanismo di comando e controllo (C2) ed esegue le istruzioni per acquisire screenshot, ottenere il contenuto delle cartelle, terminare attività, esfiltrare il portafoglio crittografico informazioni e rubare password e cookie dai browser Web basati su Chromium.

In questo senso, si spazia dai browser più classici (Google Chrome, Microsoft Edge e Opera) fino a wallet crittografici piuttosto diffusi (Electrum, Litecoin Wallet, Ethereum Wallet e tanti altri).

Il trojan funge anche da clipper per monitorare gli appunti alla ricerca di indirizzi dei wallet e sostituire i contenuti che corrispondono a un'espressione regolare predefinita con un indirizzo controllato da chi gestisce il sistema, portando a dirottare i  trasferimenti di fondi nelle tasche dei criminali informatici più esperti.

Stando ai ricercatori "La distribuzione delle configurazioni dannose di OpenBullet all'interno di Telegram è un nuovo vettore di infezione, che  prende di mira le stesse comunità criminali a causa del loro uso frequente di criptovalute".

Ti consigliamo anche