Gli esperti di ZeroFox hanno scoperto una nuova botnet, denominata Kraken, che cerca di eludere la scansione di Microsoft Defender attraverso la sua lista esclusioni e di accedere ai portafogli di varie criptovalute. Il furto delle monete digitali viene effettuato sfruttando principalmente il noto “malware stealer” RedLine.
Kraken: nuovo pericolo per utenti Windows
Kraken è una botnet “giovane”, quindi ancora sotto sviluppo e con funzionalità che possono essere aggiunte o eliminate nel corso del tempo. Attualmente si diffonde, ovvero aggiunge altri computer alla rete, utilizzando SmokeLoader. Il malware scarica dal server remoto un file RAR SFX che contiene il payload e RedLine, un noto stealer. Durante l’installazione, il file eseguibile viene aggiunto alla lista esclusioni di Microsoft Defender per evitare di essere rilevato.
Viene inoltre impostato l’attributo nascosto e aggiunta una chiave nel registro di Windows per avviare l’esecuzione ad ogni login. Kraken raccoglie diverse informazioni (hostname, username, versione del sistema operativo, dettagli su CPU e GPU) che invia al server C&C (command and control). Le funzionalità possono essere gestite da remoto attraverso una dashboard.
Può eseguire vari comandi di shell, scattare screenshot e rubare criptovalute dai portafogli digitali. Quest’ultima attività diventa sempre più popolare. Una delle funzionalità più recenti è il mining delle criptovalute, sfruttando le risorse hardware del computer degli utenti.
Per non cadere nella trappola dei cybercriminali è sempre consigliato l’uso di una soluzione di sicurezza adeguata con antivirus e firewall, l’installazione degli aggiornamenti di sicurezza e l’attivazione dell’autenticazione a due fattori per tutti gli account. Non devono inoltre mancare i backup periodici da conservare offline.