Alcuni ricercatori in ambito cybersecurity hanno scoperto l’esistenza di un malware che da più di un anno prendeva di mira gli utenti crypto, creando una serie di app fasulle. 

La società di sicurezza Intezer Labs ha avvertito che i prezzi sempre più alti delle crypto hanno portato ad un incremento dell’attività degli hacker: il malware in questione viene diffuso in rete da circa un anno, ma è stato scoperto solo nel dicembre 2020.

Il report sottolinea come il nuovo trojan di accesso remoto (RAT), soprannominato ElectroRAT, sia stato utilizzato per svuotare i wallet di migliaia di utenti Windows, macOS e Linux.

Nell’attacco sono coinvolte tre app collegate alle crypto: Jamm, eTrade/Kintum e DaoPoker, tutte ospitate sul proprio sito web. Le prime due sono finte applicazioni di crypto trading, mentre la terza è basata sul gioco d'azzardo. 

Secondo i ricercatori, il malware ElectroRAT nascosto all'interno di queste app è estremamente pericoloso: 

"Ha varie funzioni, come la possibilità di fare screenshot e keylogging, il caricamento di file da disco, il download di file e l'esecuzione di comandi sulla console della vittima."

Dopo essere state lanciate sul computer della vittima, le app mostrano un'interfaccia utente in primo piano, progettata per distogliere l'attenzione dai processi dannosi che avvengono in background. Le app sono state promosse utilizzando le piattaforme social Twitter e Telegram, oltre ad alcuni forum del mondo crypto come Bitcointalk. 

Secondo le stime di Intezer Labs, il software malevolo avrebbe già infettato "migliaia di vittime" che si sono viste svuotare il proprio wallet. Inoltre, la società ha aggiunto di avere le prove che alcune vittime delle app stessero usando wallet molto popolari, come MetaMask. 

Il malware è stato scritto in un linguaggio di programmazione multipiattaforma chiamato Golang, che lo rende più difficile da rilevare. La società di sicurezza ha dichiarato che non è affatto usuale vedere un RAT progettato per rubare informazioni personali agli utenti crypto che è stato scritto da zero, aggiungendo: 

"È ancora più raro vedere una campagna così ampia e mirata, che include vari componenti come applicazioni e siti web falsi, e addirittura iniziative di marketing/promozionali tramite forum e social media di settore."

Nel 2020 si sono verificati numerosi casi in cui i malintenzionati, utilizzando versioni finte di app ed estensioni di browser molto note, come MetaMask o Ledger, sono riusciti a introdursi nei computer delle vittime: ciò potrebbe essere collegato all'enorme data breach subito da Ledger a metà dicembre.

Nel settembre 2020, gli utenti di Coinbase sono stati presi di mira da un nuovo malware basato su Android, diffuso attraverso il Google Play Store.