Oltre a essere uno degli strumenti prediletti dagli autori di ransomware per ricevere il “riscatto” dalle rispettive vittime, Bitcoin rappresenta sempre più un bersaglio privilegiato dei cyber-criminali in quanto moneta virtuale con un valore di mercato molto concreto. Gli autori di CryptoShuffler , ad esempio, hanno guadagnato un bel po’ di denaro prendendo di mira gli ignari utenti che si sono ritrovati con il sistema infetto.
Il meccanismo di funzionamento principale di CryptoShuffler è essenziale ma estremamente efficace, visto che il trojan identificato da Kaspersky Labs si limita a tenere sotto controllo gli Appunti di Windows (clipboard) in attesa che la vittima copi l’indirizzo del suo portafogli virtuali (wallet) per una transazione a mezzo Bitcoin .
A quel punto il malware sostituisce il wallet originale con quello controllato dai cyber-criminali , e se l’utente non si accorge della sostituzione la transazione porta al trasferimento dei Bitcoin sul wallet “malevolo”. Attiva sin dal 2016, la cyber-minaccia di CryptoShuffler è tornata alla ribalta nel 2017 e ha sin qui permesso ai suoi autori di incamerare un gruzzolo piuttosto consistente.
Il wallet controllato dai criminali risulta infatti “pieno” con 23 Bitcoin, vale a dire più di 150.000 dollari secondo l’attuale valore della criptomoneta. E non di solo Bitcoin si ingrassa CryptoShuffler, visto che il payload del trojan per la sostituzione degli indirizzi negli Appunti prevede lo stesso trattamento per le transazioni in Dogecoin, Litecoin, Dash, Monero, Ethereum e altre.
Parlando di quest’ultima criptomoneta, infine, un’altra campagna malevola prende di mira i sistemi vulnerabili basati sull’OS ethOS : la distro Linux a 64-bit è specializzata nel mining di criptomonete, e un bot
identificato da Bitdefender è attivamente impegnato a scandagliare Internet alla ricerca di connessioni SSH con credenziali di accesso di default .
Una volta identificato il sistema infetto, il malware reimposta il mining di Ethereum così da favorire il wallet dei suoi autori. Diversamente da CryptoShuffler, in questo caso l’operazione non ha dato frutti portando a guadagni illeciti per appena 611 dollari.
Alfonso Maruccia