Individuato un nuovo malware in circolazione che mette a rischio i portafogli Criptovaluta

Conclusione:

• Anubis è un nuovo malware che può colpire i wallet Criptovaluta e altri dati sensibili. È stato messo in vendita per la prima volta nei Mercati del darkweb a giugno e Microsoft ha visto campagne di attacco limitate che lo utilizzano.
• Gli esperti raccomandano di non visitare siti web sospetti o di aprire allegati, link o e-mail strani o sospetti.
• L’interesse crescente per le criptovalute, come quello a cui abbiamo assistito negli ultimi mesi, di solito suscita interesse nei nuovi utenti che possono essere particolarmente vulnerabili a questo tipo di attacchi.

Una nuova forma di malware chiamata Anubis è ora disponibile nel mondo dopo essere stata messa in circolazione per la vendita sui Mercati neri della criminalità informatica a giugno, secondo Microsoft Security Intelligence. Utilizzando codice forkato dal malware Loki, Anubis può rubare ID di wallet Criptovaluta , informazioni di sistema, informazioni di carte di credito e altri dati.

È importante sottolineare che questo malware è diverso da una famiglia di malware bancari per Android, anch'essi chiamati Anubis. Si unisce a una lista crescente di malware che cercano nascondigli Criptovaluta vulnerabili.

"Il malware viene scaricato da alcuni siti Web. Ruba informazioni e invia le informazioni rubate a un server C2 (comando e controllo) tramite un comando HTTP POST", ha affermato Tanmay Ganacharya, partner director della ricerca sulla sicurezza presso Microsoft.

HTTP Post è fondamentalmente una Request di dati da Internet. Viene utilizzato anche quando carichi un file o invii un modulo web compilato.

Vedi anche:Un hacker ha rubato i dati personali di 1.000 trader dal servizio di segnalazione fiscale Cripto

"Quando eseguito con successo, tenta di rubare informazioni e invia le informazioni rubate a un server C2 tramite comando HTTP POST", ha affermato. "Il comando POST invia informazioni sensibili che possono includere nome utente e password, come credenziali salvate nei browser, informazioni sulla carta di credito e ID del portafoglio Criptovaluta ".

Evitare Anubi: cosa sappiamo

Parham Eftekhari, direttore esecutivo del Cybersecurity Collaborative, un forum per professionisti della sicurezza, ha esaminato le immagini del codice twittato da Microsoft e ha affermato che non sono state rilasciate molte informazioni sul malware Windows Anubis.

Ma il bot Loki (da cui è stato preso il codice Anubis) è stato diffuso tramite e-mail di social engineering con allegati con estensioni ".iso". Questi messaggi si mascheravano da ordini e offerte di altre aziende e venivano inviati a indirizzi e-mail aziendali disponibili al pubblico, a volte dal sito stesso dell'azienda.

Per quanto riguarda Anubis, Eftekhari ha affermato che le persone non dovrebbero aprire allegati o e-mail inaspettati o che sembrano non familiari.

"Dovrebbero distribuire applicazioni antimalware sui loro sistemi e scansionare e aggiornare frequentemente", ha affermato. "Infine, quando accedono ad account sensibili come le applicazioni bancarie, dovrebbero utilizzare browser sicuri o Privacy che potrebbero impedire al malware di registrare le sequenze di tasti o gli screenshot".

Ganacharya ha affermato che, come molte minacce, questo nuovo malware cerca di passare inosservato, quindi T ha indizi visivi evidenti. Gli utenti possono verificare la presenza di file sospetti e processi in esecuzione (ad esempio, ASteal.exe, Anubis Stealer.exe) così come traffico di rete sospetto.

Vedi anche:Binance e Oasis Labs lanciano un'alleanza per combattere le frodi e gli attacchi informatici Cripto

Da parte sua, Microsoft ha aggiornato il suo Defender Advanced Threat Protection (Microsoft Defender ATP) per rilevare il malware Anubis e lo monitorerà per vedere se le campagne iniziano a diffondersi. Microsoft Defender ATP utilizza la protezione basata sull'intelligenza artificiale e distribuita tramite cloud per difendersi da minacce nuove e sconosciute in tempo reale

Altri utenti dovrebbero stare attenti a visitare siti web sconosciuti o sospetti, o ad aprire email, allegati e URL sospetti, ha detto Ganacharya. Inoltre, gli utenti possono attivareblocco app indesiderato in Microsoft Edge per ottenere protezione dai miner Criptovaluta e da altri software che possono influire sulle prestazioni dei dispositivi.

Ma per i professionisti della sicurezza ci sono segnali rivelatori quando si analizza un sistema. ONE di questi sono gli indicatori di compromissione, che sono indicatori che un sistema è stato violato. Questi possono includere traffico di rete in uscita insolito o attività inusuali su un account.

Malware e Criptovaluta

Sebbene il malware, ovvero il software progettato per essere dannoso, T sia una novità, sta prendendo sempre più piede nella comunità Criptovaluta .

"Negli ultimi tre anni abbiamo assistito a un aumento del numero di malware che prendono di mira i computer degli utenti e che, oltre a cercare di registrare/rubare le password, sono specializzati nel raccogliere criptovalute dal sistema della vittima", ha affermato Paolo Ardoino, CTO di Bitfinex.

Ardoino ha affermato che i possessori di Criptovaluta esperti di tecnologia solitamente utilizzano un portafoglio hardware e conservano il loro seed (le informazioni che generano e recuperano un portafoglio) offline. Gli utenti meno esperti, tuttavia, a causa della paura di perdere il seed per il loro portafoglio, potrebbero KEEP sul loro computer. Il malware è quindi in grado di accedere al gestore delle password o ad altri siti di archiviazione online mentre l'utente vi accede e di copiare e incollare le password.

Vedi anche:Social Engineering: una piaga per le Cripto e Twitter, difficilmente destinata a fermarsi

Un altro attacco che il malware può eseguire, secondo Ardoino, è vedere se il computer esegue un nodo blockchain che ha un file wallet non protetto. Anche se quel file wallet ha una password, se il malware coinvolge un keystroke recorder (o keylogger) può catturare qualsiasi cosa un utente digiti sul computer.

Ha affermato che ci sono molte sfumature, ma man mano che le Criptovaluta si avvicinano all'adozione di massa, pratiche di custodia poco accurate potrebbero rendere i portafogli Criptovaluta delle persone più facili da prendere di mira rispetto alle banche o persino alle carte di credito.

Aumento del Bitcoin (BTC) ed etere (ETH), come quelli che abbiamo visto negli ultimi mesi, potrebbero suscitare l’interesse di nuovi utenti che possono essere particolarmente vulnerabili a questo tipo di attacchi.

La pandemia pone nuove vulnerabilità

La minaccia del malware non ha fatto che aumentare man mano che le persone sono state costrette a lavorare e vivere da remoto durante la pandemia di coronavirus, aumentando la quantità di tempo che trascorrono online e il numero di sistemi che utilizzano.

Vedi anche:Queste SIM card illecite stanno rendendo più facili gli attacchi hacker come quello di Twitter

Secondo unrapporto recenteda Malwarebytes, un'azienda specializzata nella lotta al malware, programmi come AveMaria e NetWiredRC, che consentono violazioni come l'accesso remoto al desktop e il furto di password, hanno visto enormi aumenti di utilizzo durante la pandemia. Hanno scoperto che AveMaria ha visto un aumento del 1.219% da gennaio ad aprile rispetto al 2019; NetWiredRC ha osservato un aumento del 99% nei rilevamenti da gennaio a giugno, principalmente mirati alle aziende.

La difesa ovvia è la migliore difesa?

Paul Walsh, CEO della società di sicurezza informatica MetaCert, ha affermato che, alla luce dei vettori di attacco identificati, i modelli tradizionali per l'identificazione e la protezione da questi attacchi sono errati.

Secondo Walsh, la stragrande maggioranza del malware viene diffusa tramite e-mail di phishing e URL dannosi, che superano in numero gli allegati pericolosi (come Anubis) di cinque a ONE.

"La maggior parte dei problemi di sicurezza che coinvolgono URL pericolosi non vengono rilevati e, pertanto, non vengono bloccati", ha affermato.

Vedi anche:L'approccio Whac-a-Mole di YouTube alle pubblicità truffaldine Cripto resta un problema

Ci sono migliaia di fornitori di sicurezza nel mondo, ma solo un piccolo numero possiede i propri "sistemi di intelligence sulle minacce", un termine elaborato per un grande database di minacce e potenziali minacce. Quelle aziende concedono in licenza quei dati ad altre aziende. Mentre la società di Walsh, Metacert, ha un sistema di intelligence sulle minacce, potrebbe avere URL che Google, ad esempio, T ha. È una soluzione patchwork nella migliore delle ipotesi.

E se si progettano attacchi di spear-phishing su misura per un'azienda specifica, il danno solitamente si verifica molto rapidamente, prima che un database o un'azienda di sicurezza venga a conoscenza dell'esistenza di un sito web personalizzato.

La durata, o il lasso di tempo entro cui un attacco di phishing ha raggiunto il suo obiettivo, è di circa sette minuti, ha affermato Walsh. Ma le aziende di sicurezza potrebbero impiegare fino a due o tre giorni per identificare e VET nuovi attacchi di phishing, in particolare se sono pensati su misura per un'azienda o un individuo.

Walsh afferma che password forti e autenticazione a due fattori sono importanti. Yubikey, essenzialmente una versione hardware dell'autenticazione a due fattori, è ONE passo avanti, ma non è supportato da tutti i siti web.