CRIPTOVALUTE E PIRATERIA

CryptBot, il ladro di criptovalute che prende di mira utenti di Windows senza licenza

Si chiama CryptBot il malware che ruba password di portafogli digitali di criptovalute e altre credenziali. Gli attaccanti sfruttano strumenti e approcci impiegate per il cracking di software, in questo caso Windows, per indurre le vittime a installare malware. Ecco come proteggersi

07 Dic 2021
C
Mirella Castigli

Giornalista

Gli utenti che utilizzano copie pirata di Windows – senza aver attivato una licenza legittima – sono l’obiettivo di un malware chiamato CryptBot, il cui attacco consiste nel rubare credenziali per portafogli digitali di criptovalute, cookie dei browser, carte di credito, per navigare e per catturare screenshot da sistemi infetti.

Distribuito via strumenti di cracking di software, l’ultimo attacco coinvolge un malware che si traveste da KMSPico, uno dei tanti “activator” delle licenze pirata di Windows.

“Gli attaccanti stanno sfruttando tool e metodologie utilizzate per il cracking di software, in questo caso Windows, per far installare del malware”, commenta Gerardo Costabile, CEO di DeepCyber (Gruppo Maggioli).

KMSPico, attacco ai pirati di Windows

“Questo approccio colpisce gli utenti che, proprio perché colti in fallo in qualcosa di poco legittimo, sono più propensi a non denunciare o a pagare, se previsto, un piccolo riscatto”, evidenzia Costabile. Il pirata di software è insomma la vittima perfetta di questa tipologia di attacco.

WHITEPAPER
In 5 step ecco come migliorare i processi di CONTABILITA'
Amministrazione/Finanza/Controllo
Finanza/Assicurazioni

Infatti, usare software illegittimo invece di valide licenze di Microsoft per attivare Windows, consente agli attaccanti di aggiungere l’installazione di KMSpico, distribuito attraverso una numerosa serie di siti che offrono la versione “ufficiale” del tool di cracking.

KMSPico è uno strumento usato per attivare illegalmente le funzionalità complete di copie pirata di software come il sistema operativo Microsoft Windows e la suite di produttività Office, senza la necessità di possedere una licenza legittima.

“L’utente s’infetta, semplicemente cliccando uno dei link malevoli e scaricando o KMSPico, CryptBot, o un altro malware senza KMSPico”, avverte il ricercatore di Red Canary, Tony Lambert, in un report pubblicato la scorsa settimana. “Coloro che subiscono l’attacco installano anche KMSPico, perché è ciò che la vittima si aspetta, mentre CryptBot agisce dietro le quinte”.

CryptBot ruba criptovalute ai pirati del software

Lo scorso giugno l’azienda di cybersecurity Avast ha scoperto una campagna chiamata “Crackonosh” che sfruttava la distribuzione di copie illegali di popolari software per entrare nei sistemi e abusare delle macchine compromesse anche per eseguire attività di cryptojacking (per creare criptovalute), generando 2 milioni di dollari di profitti agli attaccanti.

“In passato, qualcosa di simile è accaduto diverse volte anche con falsi sistemi antivirus o software con dentro trojan”, ci spiega Gerardo Costabile: “La qualità del software e delle fonti dove recuperiamo questi tool è fondamentale. Ciò che è gratis ha sempre un prezzo, che sia un pagamento in natura (la nostra profilazione) o peggio ancora, come in questo caso, essere derubati durante una azione che potremmo definire borderline o in alcuni casi illecita”.

Come proteggersi da malware CryptBot

Il primo consiglio è quello di non crackare software, ma ovviamente di acquistare le licenze legittime. Tuttavia “quando si usano determinati tool”, mette in guardia Costabile “o si fanno test di sicurezza è bene avere una macchina ‘sacrificabile’, senza dati o account al suo interno. Questo vale anche quando si frequentano alcuni ambiti nel Dark Web. Evitando di accedere dal propri device tradizionale o di cliccare ‘ovunque’ e senza porci domande”.

Infine, un consiglio per i possessori di criptovalute. “Per l’autenticazione dei sistemi di cryptocurrency, al di là dello specifico malware”, conclude Costabile, “bisognerebbe aderire il più possibile a strumenti che consentano un serio approccio all’autenticazione a doppio fattore, firmando le transazioni comprensive del contenuto e non solo autenticando l’utenza”.

@RIPRODUZIONE RISERVATA

Articolo 1 di 2