Trojan e backdoor

Frodi tramite app DeFi trojanizzate: l’ultima esca per rubare criptovalute

Il gruppo criminale nord coreano Lazarus sta distribuendo applicazioni di finanza decentralizzata DeFi trojanizzate, per rubare criptovalute e non solo. Ecco come avviene la frode e come tenersene alla larga

01 Apr 2022
C
Mirella Castigli

Giornalista

L’ultima esca del cyber crime sono le app DeFi trojanizzate: l’allarme arriva dai ricercatori Kaspersky secondo cui cyber criminali nord coreani del gruppo Lazarus stanno diffondendo e sfruttando applicazioni malevoli di finanza decentralizzata per trafugare criptovalute alle ignare vittime.

“L’utilizzo di applicazioni per gestire criptovalute come vettore per diffondere malware, finalizzato a sottrarre le criptovalute stesse, è piuttosto frequente”, commenta Paolo Dal Checco, consulente informatico forense. Ecco perché e come avviene la frode.

DeFi, tutti i rischi della finanza decentralizzata secondo le autorità

App DeFi trojanizzate: lo schema della frode

Le prime avvisaglie della campagna nuova campagna malevola che sfruttava app di DeFi trojanizzata per condurre una frode con lo scopo di rubare criptovalute sono state intercettate lo scorso mese di dicembre, come riportato nel rapporto dei ricercatori di sicurezza.

WHITEPAPER
In 5 step ecco come migliorare i processi di CONTABILITA'
Amministrazione/Finanza/Controllo
Finanza/Assicurazioni

“Tipico è infatti il caso di wallet che vengono distribuiti già compromessi”, continua Dal Checco, “in modo che l’utilizzatore che ne farà uso si troverà, ad un certo punto, a vedersi svuotare i conti”. Il motivo è che “le chiavi private con cui vengono protette le sue criptomonete sono note anche ai criminali che hanno prodotto e distribuito il software”, sottolinea il consulente informatico forense.

Infatti, “nel caso dell’app Defi Wallet, la situazione è simile”, spiega Dal Checco: “un programma che sembra a tutti gli effetti normale e innocuo, cela in realtà una funzione malevola, che è quella appunto di rubare i fondi depositati dagli utenti sulle piattaforme di DeFi“.

La manipolazione delle app trojanizzate

Sempre Paolo Dal Checco mette in guardia sul fatto che “tra le altre cose, questi software ‘trojanizzati’ – come si usa ormai definire questa tipologia di manipolazione – permettono ai criminali di:

  • prendere possesso delle cripotovalute gestite tramite l’applicativo stesso;
  • sempre più di frequente, di installare sul sistema dei RAT (Remote Access Trojan) per accedere al PC della vittima e procedere con ulteriori razzie“.

Lo schema dell’app DeFi di Lazarus

L’app includeva un software legittimo (DeFi Wallet) in grado di salvare e gestire portafogli di criptovalute. Ma l’esecuzione dell’app non lanciava solo un programma d’installazione dell’applicazione legittima, ma rilasciava anche un file malevolo, in grado di diffondere un malware (in particolare, una backdoor multi-funzione) tramite un percorso di installazione trojanizzato.

Inoltre, il malware lanciato è in grado di sovrascrivere l’applicazione legittima con l’applicazione troianizzata.

Infine, il malware si maschera da Google Chrome e, successivamente, lancia un wallet app creato per DeFiChain, in grado di:

  • stabilire connessioni a un dominio controllato da remote dagli attaccanti;
  • aspettare ulteriori instruzioni dal server.

In base alla risposta ricevuta dal server command-and-control (C2), il trojan procede quindi a eseguire un’ampia gamma di comandi al fine di:

  • garantire la capacità di raccogliere informazioni di sistema;
  • numerare e terminare i processi;
  • cancellare i file;
  • lanciare nuovi processi;
  • salvare file arbitrari sulla macchina.

Altri pericoli legati alle app trojanizzate

“Per fare un esempio concreto”, continua Dal Checco, “ho avuto diversi casi di clienti che mi hanno contattato dopo aver scaricato dei wallet dal web (o da Telegram) alcuni dei quali dovevano in teoria contenere già delle criptovalute, ma che in realtà hanno permesso a terzi di accedere al loro PC e, nottetempo:

  • rubare criptomonete;
  • appropriarsi di credenziali di accesso, email, documenti;
  • con questi dati, eseguire ulteriori attacchi di sostituzione di persona, phishing o bancari.

Uno degli elementi che maggiormente ha attirato le vittime è stato il possibile guadagno dovuto alla – asserita – presenza di criptovalute nei wallet, che le vittime hanno in qualche modo sperato di poter intascare mentre, invece, a intascare i loro averi digitali sono stati i criminali”, conclude Dal Checco.

App DeFi trojanizzate: come proteggersi

Le frodi tramite criptovalute sono in preoccupante crescita. Il motivo è il guadagno finanziario ottenuto tramite queste frodi.

Infatti, Lazarus, attivo dal 2009, spicca fra i criminal hacker APT più prolifici su scala globale: non è un actor nation-state, ma un gruppo che conduce cyber attacchi con l’obiettivo di ottenere un guadagno finanziario.

Per difendersi, si consiglia di seguire questi accorgimenti:

  • svolgere audit di cyber security e mantenere un monitoraggio costante sulle reti per risolvere qualsiasi falla o elemento malevolo scoperto nel perimetro o all’interno della rete;
  • offrire ai propri dipendenti formazione base di cyber sicurezza, per evitare il phishing o altre tecniche di social engineering;
  • sensibilizzare i propri dipendenti per effettuare solamente download di app da fonti certificate e da store ufficiali;
  • usare prodotti EDR per il rilevamento tempestivo degli incidenti e rispondere alle minacce evolute;
  • adottare soluzioni anti-frode per proteggere le transazioni di criptovaluta, in modo da scoprire e prevenire il furto di conti, le transazioni non note e perfino il riciclaggio finanziario.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4