Malware e Convertitori Falsi
Una campagna malware sfrutta falsi convertitori da PDF a DOCX come vettore per infiltrare comandi PowerShell dannosi sui dispositivi, consentendo agli attaccanti di accedere ai portafogli di criptovalute, di dirottare le credenziali del browser e di rubare informazioni.
Indagini e Dettagli degli Attacchi
A seguito di un allerta dell’FBI dello scorso mese, il team di ricerca sulla sicurezza di CloudSEK ha condotto un’indagine rivelando dettagli sugli attacchi. L’obiettivo è ingannare gli utenti affinché eseguano un comando PowerShell che installa il malware Arechclient2, una variante di SectopRAT, una famiglia di malware nota per rubare informazioni sensibili dalle vittime.
Siti Web Malevoli
I siti web malevoli si spacciano per il legittimo convertitore di file PDFCandy; tuttavia, invece di caricare il vero software, viene scaricato il malware. Questi siti presentano barre di caricamento e verifiche CAPTCHA per illudere gli utenti e dare loro una falsa sensazione di sicurezza. Alla fine, dopo vari reindirizzamenti, il computer della vittima scarica un file “adobe.zip” contenente il payload, esponendo il dispositivo a un Trojan di Accesso Remoto, attivo dal 2019.
Minacce al Furto di Dati
Questo rende gli utenti vulnerabili al furto di dati, comprese le credenziali del browser e le informazioni sui portafogli di criptovalute. Il malware “controlla i negozi di estensioni, raccoglie le frasi seed e attinge persino da API Web3 per drenare silenziosamente le risorse una volta approvate,” ha dichiarato Stephen Ajayi, Responsabile Tecnico di Dapp Audit presso la società di sicurezza blockchain Hacken, a Decrypt.
Consigli di Sicurezza
CloudSEK ha consigliato alle persone di utilizzare software antivirus e antimalware e di “verificare i tipi di file oltre alle sole estensioni, poiché i file dannosi spesso si mascherano da tipi di documenti legittimi.” Inoltre, la società di cybersicurezza consiglia di affidarsi a “strumenti di conversione file affidabili e rinomati provenienti da siti ufficiali”, e di considerare l’utilizzo di “strumenti di conversione offline che non richiedono il caricamento di file su server remoti.”
Ajayi di Hacken ha esortato gli utenti di criptovalute a ricordare che “la fiducia è uno spettro: si guadagna, non si dà. Nella cybersecurity, non si assume che nulla sia sicuro per impostazione predefinita.” Ha aggiunto che dovrebbero “applicare una mentalità di zero trust e mantenere aggiornati gli strumenti di sicurezza, in particolare EDR e AV, che possono segnalare anomalie comportamentali, come l’attività sospetta di msbuild.exe.”
“Gli attaccanti evolvono costantemente e così devono fare i difensori,” ha osservato Ajayi, aggiungendo che “la formazione regolare, la consapevolezza situazionale e una copertura di rilevamento robusta sono essenziali. Rimanete scettici, preparatevi ai peggiori scenari e abbiate sempre a disposizione un piano di risposta testato pronto per l’uso.”
