ThreatFabric, una società di cybersecurity olandese specializzata in minacce per il settore finanziario, ha identificato "Cerberus", un trojan che ruba i codici 2FA (2-Factor Authentication) generati dall'app Google Authenticator per le app di internet banking, gli account di posta elettronica e gli exchange di criptovalute.
L'exchange statunitense Coinbase è una delle piattaforme crypto elencate nella lista delle società prese di mira da Cerberus, che include varie istituzioni finanziarie di tutto il mondo e le app dei social media.
La società di cybersecurity osserva di non aver identificato alcun annuncio sul dark web per le nuove funzionalità di Cerberus, cosa che fa pensare che la versione aggiornata sia "ancora in fase di test, anche se potrebbe essere rilasciata presto".
Cerberus aggiornato durante i primi mesi del 2020
Il rapporto di ThreatFabric afferma che il Remote Access Trojan (RAT) "Cerberus" è stato identificato per la prima volta alla fine di giugno, sostituendo il Trojan Anubis ed emergendo come un importante prodotto Malware-as-a-Service.
Il rapporto afferma che Cerberus è stato aggiornato a metà gennaio 2020, e la nuova versione introduce la possibilità di rubare token 2FA da Google Authenticator, oltre a codici PIN e le sequenze delle schermate di sblocco.
Una volta installato, Cerberus è in grado di scaricare i contenuti di un dispositivo e stabilire delle connessioni che forniscono all'hacker un accesso remoto completo sul dispositivo. Il RAT può quindi essere utilizzato per far funzionare qualsiasi app sul dispositivo, comprese le app di internet banking o degli exchange di criptovalute.
"La funzione che consente il furto delle credenziali di blocco dello schermo del dispositivo (PIN e sequenza di blocco) è potenziata da un semplice overlay che richiederà alla vittima di sbloccare il dispositivo. Dall'implementazione del RAT possiamo concludere che questo furto di credenziali di blocco dello schermo sia stato creato per consentire agli hacker di sbloccare il dispositivo in remoto per condurre frodi quando la vittima non sta usando il dispositivo. Ciò dimostra ancora una volta la grande creatività dei criminali nel costruire gli strumenti giusti per avere successo."
App crypto sempre più colpite dai trojan
Il rapporto esamina anche altri due RAT saliti alla ribalta dopo Anubi: "Hydra" e "Gustaff".
Gustaff prende di mira le banche australiane e canadesi, i wallet di criptovaluta e siti web governativi, mentre Hydra ha ampliato la propria portata dopo aver preso di mira principalmente banche turche e wallet blockchain.
I tre Trojan prendono di mira almeno 26 exchange di criptovalute e provider di servizi di custodia. Tra i bersargli vi sono diverse aziende leader nel settore delle criptovalute, tra cui Coinbase, Binance, Xapo, Wirex e Bitpay.
Più di 20 degli obiettivi sono provider di wallet che offrono supporto per le criptovalute principali, tra cui Bitcoin (BTC), Ethereum (ETH), e Bitcoin Cash (BCH).
Una potenziale difesa contro Cerberus è l'uso di una chiave di autenticazione fisica per prevenire attacchi remoti. Queste chiavi richiedono che l'hacker sia fisicamente in possesso del dispositivo, il che aiuta a ridurre al minimo i rischi.