Operazione globale contro il malware
Un’operazione globale contro il malware “cybercrime-as-a-service”, che silenziosamente prosciuga i portafogli di criptovalute, ha portato al congelamento di decine di milioni di dollari in fondi rubati. Le forze dell’ordine hanno identificato, segnalato e congelato oltre 41 milioni di euro (circa 47 milioni di dollari) in asset crittografici criminali nell’ultima fase dell’Operazione Endgame, come dichiarato da Europol mercoledì.
Dettagli dell’Operazione Endgame
L’operazione, durata due settimane e condotta in più paesi, ha smantellato l’infrastruttura dietro tre famiglie di malware: SocGholish, Amadey e StealC, tutti mirati agli utenti di criptovalute. StealC, un infostealer venduto come servizio dal 2023, raccoglie password, cookie del browser e dati dei portafogli di criptovalute dai computer infetti. Il suo pannello di controllo includeva persino un plugin che tentava di decrittografare le frasi seed dei portafogli MetaMask delle vittime, come hanno scoperto i ricercatori di Proofpoint.
Amadey ottiene il primo accesso e scarica ulteriore malware, mentre SocGholish, collegato al gruppo russo Evil Corp, infetta gli utenti tramite falsi avvisi di aggiornamento del browser su siti web compromessi. Insieme, questi malware formano il front-end degli attacchi che si concludono in portafogli prosciugati, takeover di account e ransomware.
Risultati dell’operazione
La polizia ha abbattuto 326 server e 142 domini, recuperando quasi 27 milioni di credenziali rubate da oltre 385.000 sistemi compromessi e ripulendo quasi 15.000 siti web infetti, molti dei quali appartenenti a piccole imprese. Microsoft, partner dell’operazione, ha collegato Amadey e StealC a oltre 140.000 computer infetti in tutto il mondo solo nelle prime due settimane di maggio.
Minacce emergenti e azioni legali
Gli infostealer sono diventati una delle principali vie per il furto di criptovalute, estraendo silenziosamente file di portafoglio, chiavi private e frasi seed dai dispositivi delle vittime. Utilizzano una varietà di vettori per colpire gli utenti di criptovalute, inclusi falsi strumenti di intelligenza artificiale, sfondi di Steam e mod di giochi piratati. La scala dell’esposizione è vasta.
Un’azione precedente dell’Operazione Endgame, alla fine dell’anno scorso, ha scoperto dati di accesso per oltre 100.000 portafogli di criptovalute, rubati dalle vittime ma non ancora svuotati. L’Unità Crimini Digitali di Microsoft ha presentato separatamente una causa per racket negli Stati Uniti, trattando per la prima volta due famiglie di malware come un’unica cospirazione criminale.
Utilizzando strumenti di intelligenza artificiale, tra cui Copilot, per analizzare il malware, gli investigatori hanno scoperto che Amadey e StealC, sebbene sviluppati da criminali diversi, operavano su un’infrastruttura condivisa, consentendo a Microsoft di accusare i facilitatori di entrambe le operazioni ai sensi del RICO Act e di interrompere oltre 200 server di comando e controllo.
Prospettive future
Da allora, sono stati identificati oltre 18.000 computer vittima e sono state avviate azioni per interrompere il controllo degli aggressori. Tali abbattimenti raramente eliminano completamente il malware, e gli operatori tendono a riorganizzarsi, con StealC che ha già rilasciato una nuova versione questo mese. Per ora, Europol e i suoi partner stanno instradando gli avvisi alle vittime attraverso servizi come Have I Been Pwned, in modo che gli utenti possano controllare se le loro credenziali e le chiavi dei loro portafogli siano già in mani criminali.
