Il software antimalware Malwarebytes ha evidenziato due nuovi programmi informatici dannosi propagati da fonti sconosciute che prendono attivamente di mira i crypto investitori su ambiente desktop. 

Da dicembre 2022, i due file dannosi in questione ─ il ransomware MortalKombat e il malware Laplas Clipper ─ hanno scandagliato attivamente il web e sottratto criptovalute agli incauti investitori, rivela il team di ricerca di threat intelligence Cisco Talos. Le vittime della campagna si trovano prevalentemente negli Stati Uniti, con una percentuale minore nel Regno Unito, in Turchia e nelle Filippine, come mostrato in basso.

Vittime della campagna malware. Fonte: Cisco Talos

I software malevoli lavorano in collaborazione per carpire le informazioni memorizzate negli appunti dell'utente, che di solito sono una stringa di lettere e numeri copiati dall'utente. L'infezione rileva quindi gli indirizzi dei wallet copiati negli appunti e li sostituisce con un indirizzo diverso.

L'attacco si basa sulla disattenzione dell'utente nei confronti dell'indirizzo del wallet del mittente, che invierebbe le criptovalute all'aggressore non identificato. Senza un obiettivo evidente, l'attacco si estende a singoli individui e a piccole e grandi organizzazioni.

Note di riscatto condivise dal ransomware MortalKombat. Fonte: Cisco Talos

Una volta infettato, il ransomware MortalKombat cripta i file dell'utente e rilascia una nota di riscatto con le istruzioni di pagamento, come evidenziato sopra. Rivelando i link di download (URL) associati alla campagna di attacco, il rapporto di Talos ha dichiarato:

"Uno di loro raggiunge un server controllato dall'aggressore tramite l'indirizzo IP 193[.]169[.]255[.]78, con sede in Polonia, per scaricare il ransomware MortalKombat. Secondo l'analisi di Talos, 193[.]169[.]255[.]78 sta eseguendo un RDP crawler, che scansiona la rete internet alla ricerca della porta RDP 3389 esposta".

Come descritto da Malwarebytes, la "campagna tag-team" parte da un'e-mail a sfondo crypto contenente un allegato dannoso. L'allegato esegue un file BAT che aiuta a scaricare ed eseguire il ransomware quando viene aperto.

Grazie all'individuazione precoce di software dannosi ad alto potenziale, gli investitori possono evitare in modo proattivo che tale attacco impatti sul loro patrimonio finanziario. Come sempre, Cointelegraph consiglia agli investitori di effettuare un'approfondita due diligence prima di investire, assicurandosi della fonte ufficiale delle comunicazioni. Consultate questo articolo di Cointelegraph Magazine per scoprire come mantenere al sicuro gli asset crypto.

D'altro canto, dal momento che le vittime di ransomware continuano a rifiutare le richieste di estorsione, nel 2022 i ricavi dei ransomware per gli aggressori sono crollati del 40% a 456,8 milioni di dollari.

Valore totale estorto dagli aggressori di ransomware tra il 2017 e il 2022. Fonte: Chainalysis

Nel riportare le informazioni, Chainalysis ha evidenziato che le cifre non implicano necessariamente una diminuzione del numero di attacchi rispetto all'anno precedente.