Introduzione al Malware Cripto
Un’ondata crescente di malware cripto sta investendo il mondo degli asset digitali, e questa volta gli attori sono più esperti e versatili che mai. In prima linea ci sono i Librarian Ghouls, un gruppo di minacce persistenti avanzate (APT) focalizzato sulla Russia, e Crocodilus, un ladro multipiattaforma con origini nei trojan bancari Android.
“L’ultima campagna dei Librarian Ghouls utilizza software legittimi come AnyDesk per nascondere miner di criptovalute e keylogger. Una volta all’interno, sono silenziosi — fino a mezzanotte.” — Kaspersky Threat Intelligence (9 Giugno 2025)
Strategie di Attacco dei Librarian Ghouls
Questo gruppo APT maschera gli attacchi come documenti di routine (ad esempio, ordini di pagamento) nelle email di phishing. Una volta aperti, i loro malware installano:
- 4t Tray Minimizer per nascondere processi dannosi.
- AnyDesk per l’accesso remoto e XMRig per minare Monero.
- Credenziali del wallet crypto e chiavi di registro.
Novità nel 2025: attivazione a mezzanotte — il malware si attiva solo di notte per evitare il rilevamento. L’attacco non è semplicemente una rapina a forza bruta; piuttosto, unisce competenze tecniche con coercizione psicologica, colpendo ad ogni fase del ciclo crypto.
I Librarian Ghouls hanno anche ottimizzato il loro loader per travestirsi da applicazioni aziendali legittime, infettando frequentemente documenti che sembrano innocui come ordini di pagamento o fatture. Quando la vittima esegue il file, gli installer di malware installano silenziosamente programmi come 4t Tray Minimizer e AnyDesk.
Ciò che rende questo gruppo davvero unico è l’uso di attivatori basati sul tempo: il malware si attiva solo di notte, riducendo le probabilità di essere rilevato dai team di sicurezza durante le ore lavorative. In questo modo, rubano le credenziali del wallet, minano Monero utilizzando XMRig e trasferiscono dati sensibili senza essere notati.
La Minaccia di Crocodilus
Originariamente un trojan bancario turco, Crocodilus ora mira agli utenti globali di criptovalute attraverso:
- App false che si travestono da Coinbase, MetaMask o strumenti di mining.
- Raccoglitori automatizzati di frasi di recupero che esaminano i dispositivi alla ricerca di dati del wallet.
- Ingegneria sociale tramite falsi contatti di “Supporto Bancario” al telefono.
“Il nuovo parser di Crocodilus estrae frasi di recupero con precisione chirurgica. Un clic su un link falso e il tuo wallet è andato.” — ThreatFabric MTI Team (3 Giugno 2025)
Crocodilus ha rapidamente evoluto da una minaccia regionale a una globale. Non è più limitato ad Android; ora prende di mira estensioni dannose per browser, app desktop clone e persino bot di Telegram. La caratteristica più pericolosa del malware è la sua abilità di rubare frasi di recupero dai dati negli appunti, screenshot e dati di compilazione automatica.
Gli attori della minaccia hanno iniziato a vendere accesso ai wallet compromessi su forum darknet, creando un mercato nero per gli asset di criptovalute rubati in continua crescita sia in dimensione che in complessità.
Exploits su X (Twitter)
Gli hacker stanno sfruttando X (Twitter) attraverso:
- Account verificati dirottati che promuovono airdrop fraudolenti.
- Codici QR che rimandano a contratti intelligenti in grado di drenare wallet.
- Chat di supporto deepfake AI che imitano veri agenti.
Esempio reale: nel Maggio 2025, un livestream deepfake di “Elon Musk” ha esortato gli spettatori a scansionare un codice QR per un giveaway di “TeslaCoin”, portando a perdite di oltre 200.000 dollari in 30 minuti.
Linee Guida per la Protezione
Dalla Guida 2025 di Quillaudits: per proteggersi da tali minacce, gli utenti dovranno adottare un approccio OPSEC multilivello. Gli esperti raccomandano:
- Utilizzo di wallet hardware per investimenti di alto valore.
- Attivazione dell’autenticazione a due fattori.
- Non condividere mai frasi di recupero—nemmeno con presunti membri del personale di supporto.
- Controlli regolari sull’approvazione del wallet.
- Mantenere il software aggiornato.
- Separare le operazioni crypto in dispositivi a uso singolo.
Man mano che gli attaccanti diventano sempre più innovativi e ingegnosi, la migliore difesa rimane un’adeguata informazione e uno scetticismo costante.
