Elia Tufarolo

Bitcoin: occhio, phishing in corso!

L'impennata del valore della criptovaluta più famosa fa gola ai cyber-criminali, che stanno attuando numerose campagne di spam e phishing, al fine di svuotare più portafogli possibili

Roma - Il valore del bitcoin ha subito recentemente un'ulteriore impennata, passando dagli 11.000 dollari, di lunedì 4 dicembre, agli attuali 16.000. Una conseguenza diretta di questa crescita esponenziale è l'aumento dell'attività cyber-criminale in relazione alla criptovaluta, al fine di rubare portafogli bitcoin, attraverso campagne massive di phishing, oppure andando direttamente alla fonte, hackerando i siti web dei principali exchange.

Una campagna di phishing di questo tipo è stata recentemente rilevata da Fortinet: una mail che sponsorizza un trading bot per bitcoin realmente esistente, Gunbot, contiene in realtà un allegato malevolo, nello specifico uno script VB che va a scaricare un eseguibile portable per Windows, spacciandolo per un'innocua immagine JPEG.

Questo eseguibile va ad installare un innocuo software di inventory, che tuttavia contiene al suo interno tre file: Orcus RAT (Remote Administration Tool), un malware che consente l'amministrazione remota dell'intero sistema ai cyber-criminali, il modulo RunPE, che consente di eseguire moduli sotto applicazioni legittime, evitando addirittura di scrivere i relativi file su disco, un tool di tipo watchdog per mantenere il malware in esecuzione, nel caso in cui l'utente tenti di terminarne il processo.
orcus rat e bitcoin


Come ciliegina sulla torta della suddetta campagna, vi sono i redirezionamenti verso siti fake identici a Gunthy, società produttrice di Gunbot, e al noto forum Bitcointalk: dal primo sito fake era possibile scaricare un ulteriore file, che è già stato rimosso - fortunatamente - dal servizio di hosting che lo conteneva.

Ulteriori campagne di phishing sono state riportate da Bleeping Computer: in questo caso, le vittime sono il wallet Blockchain.info ed l'exchange LocalBitcoins, uno dei pochi che consente la compravendita della criptovaluta direttamente tra gli utenti; infine, il misterioso esperto di cyber-security x0rz ha rilevato un'ulteriore campagna in corso ai danni dell'exchange Bittrex, attuata attraverso un sito fake ospitato dal provider Namecheap, il quale tuttavia ha, per il momento, respinto le accuse.




Elia Tufarolo

Fonte Immagine
Notizie collegate
  • AttualitàCriminali a caccia di criptomoneteI ricercatori registrano un incremento dei tentativi di scansione telematica per portafogli virtuali e API remote vulnerabili. Il mercato delle criptomonete fa sempre più gola ai cyber-criminali
  • AttualitàBitcoin, speculazioni e controlliLe autorità americane chiedono i dati personali degli utenti di Bitcoin, mentre continua il dibattito sulla legittimità della criptomoneta come strumento di investimento. Arrivano i futures e, in Europa, i controlli per le tasse
  • AttualitàBitcoin, le follie e la bollaIl valore dei BTC sfonda il tetto degli 11.000 dollari raggiungendo un nuovo record, la capitalizzazione senza precedenti della criptomoneta fa paura e le vulnerabilità di sicurezza ne confermano la fragilità tecnologica di fondo. Bitcoin: rivoluzione o bolla?
15 Commenti alla Notizia Bitcoin: occhio, phishing in corso!
Ordina
  • "Una mail che sponsorizza un trading bot per bitcoin realmente esistente, Gunbot, contiene in realtà un allegato malevolo, nello specifico uno script VB che va a scaricare un eseguibile portable per Windows, spacciandolo per un'innocua immagine JPEG"

    Ma certo dai scarichiamo tutti quello che arriva nella mail, soprattutto dalla cartella SPAM!!!!

    Svegliaaaaaaaaaaaa
    non+autenticato
  • - Scritto da: anonimo veneziano
    > "Una mail che sponsorizza un trading bot per
    > bitcoin realmente esistente, Gunbot, contiene in
    > realtà un allegato malevolo, nello specifico uno
    > script VB che va a scaricare un eseguibile
    > portable per Windows, spacciandolo per un'innocua
    > immagine
    > JPEG"
    >
    > Ma certo dai scarichiamo tutti quello che arriva
    > nella mail, soprattutto dalla cartella
    > SPAM!!!!
    >
    > Svegliaaaaaaaaaaaa

    Sono winari.
    Se lo meritano!

    Esistono pratici strumenti come la macchina da scrivere e il pallottoliere, ma loro no, loro hanno voluto il computer senza saperlo usare, e cliccano!
  • - Scritto da: panda rossa
    > Esistono pratici strumenti come la macchina da
    > scrivere e il pallottoliere
    Quelli per te sono troppo, non pubblicizzarli che manco li conosci
    non+autenticato
  • - Scritto da: ...
    > - Scritto da: panda rossa
    > > Esistono pratici strumenti come la macchina
    > da
    > > scrivere e il pallottoliere
    > Quelli per te sono troppo, non pubblicizzarli che
    > manco li
    > conosci

    Fallo tu che li conosci tanto bene, allora.
  • - Scritto da: panda rossa

    > Sono winari.
    > Se lo meritano!

    Frequento poco PI, ma ammetto che leggere commenti così stupidi nel 2017 fa pensare...
    non+autenticato
  • - Scritto da: AmigOS
    > - Scritto da: panda rossa
    >
    > > Sono winari.
    > > Se lo meritano!
    >
    > Frequento poco PI, ma ammetto che leggere
    > commenti così stupidi nel 2017 fa
    > pensare...

    Dopo che per oltre 20 anni che si e' detto loro "formattate e mettete linux" siamo ancora al punto che si loggano come administrator, scaricano l'allegato e ci doppiocliccano sopra, che cosa vuoi dirgli?
  • > Dopo che per oltre 20 anni che si e' detto loro
    > "formattate e mettete linux" siamo ancora al
    > punto che si loggano come administrator,
    > scaricano l'allegato e ci doppiocliccano sopra,
    > che cosa vuoi
    > dirgli?

    Chi?

    Non è che sei tu il fesso che ha perso tempo a fare il virus albanese sperando che qualcuno ci cliccasse sopra?
    non+autenticato
  • - Scritto da: 0d19984fb84
    > > Dopo che per oltre 20 anni che si e' detto
    > loro
    > > "formattate e mettete linux" siamo ancora al
    > > punto che si loggano come administrator,
    > > scaricano l'allegato e ci doppiocliccano
    > sopra,
    > > che cosa vuoi
    > > dirgli?
    >
    > Chi?
    >
    > Non è che sei tu il fesso che ha perso tempo a
    > fare il virus albanese sperando che qualcuno ci
    > cliccasse
    > sopra?

    Oppure sei tu il fesso che ci ha cliccato sopra?
  • "uno script VB che va a scaricare un eseguibile portable per Windows, spacciandolo per un'innocua immagine JPEG"

    Ma come cazzo si fa a cascarci? A differenza degli exe i vbscript manco hanno le icone customizzabili in Windows.
    non+autenticato
  • Ah è l'eseguibile scaricato ad essere "spacciato per jpeg"... in ogni caso lo script va eseguito, pazzesco che ancora ci sia gente che se riceve un allegato vbs tramite spam lo esegue... Deluso
    non+autenticato
  • - Scritto da: ...
    > Ah è l'eseguibile scaricato ad essere "spacciato
    > per jpeg"... in ogni caso lo script va eseguito,
    > pazzesco che ancora ci sia gente che se riceve un
    > allegato vbs tramite spam lo esegue...
    >Deluso

    Io c'ho linux e schiaccio ovunque, che me frega, e in ogni caso ho un server riciclicato con su proxmox dove ho virtualizzato linux mint dove ho installato un emulatore android ed una xubuntu, posso schiacciare ovunque sia sullo sore googlse sia sulle mail tanto non ci faccio niente con questi sistemi.
    non+autenticato
  • > Io c'ho linux e schiaccio ovunque, che me frega,
    > e in ogni caso ho un server riciclicato con su
    > proxmox dove ho virtualizzato linux mint dove ho
    > installato un emulatore android ed una xubuntu,
    > posso schiacciare ovunque sia sullo sore googlse
    > sia sulle mail tanto non ci faccio niente con
    > questi
    > sistemi.

    Su linux mint ho installato xen, mi è sfuggito questo passaggio
    non+autenticato
  • - Scritto da: ...
    > "uno script VB che va a scaricare un eseguibile
    > portable per Windows, spacciandolo per un'innocua
    > immagine
    > JPEG"
    >
    > Ma come cazzo si fa a cascarci? A differenza
    > degli exe i vbscript manco hanno le icone
    > customizzabili in
    > Windows.

    Il fatto che ci sia un virus in circolazione non significa che qualcuno ci sia cascato. Nel frattempo l'hacker albanese che ha creato il virus sta facendo la fame.
    non+autenticato
  • - Scritto da: 5b7724a50f4

    > Il fatto che ci sia un virus in circolazione non
    > significa che qualcuno ci sia cascato. Nel

    questa frase andrebbe messa in evidenza sulla homepage di PI e sulle pagine di tutte le notizie su vulnerabilità e trojan Android, visto che ai soliti piace pensare che l'esistenza di un malware implicano che tutti ne siano automaticamente infetttai
    non+autenticato