Alcuni cybercriminali hanno creato un sito fake per il download del file di installazione delle Microsoft DirectX 12 che, in realtà, nasconde un malware in grado di rubare le password e accedere ai portafogli di varie criptovalute. Un simile stratagemma, scoperto pochi giorni fa da Avast, viene sfruttato dal proprietario di un canale Telegram.
Furto di monete digitali tramite DirectX 12
La crescente popolarità delle criptovalute ha sollecitato la fantasia del cybercriminali che hanno subito visto una nuova opportunità per ottenere facili guadagni. In questo caso il bersaglio sono principalmente gli utenti gamer. Il sito fasullo mostra due grandi pulsanti per il download degli installer offline (32 e 64 bit) delle DirectX 12 per Windows 10.
Quando l’ignaro utente clicca sui pulsanti viene reindirizzato su una pagina esterna che ospita un file ZIP. Eseguendo l’installer presente nel file ZIP viene scaricato e installato sul computer un malware “crypto-stealing” che cerca di rubare le password e gli indirizzi dei portafogli digitali di diverse criptovalute, tra cui Ledger Live, Waves.Exchange, Coinomi, Electrum, Electron Cash, BTCP Electrum, Jaxx, Exodus, MultiBit HD, Aomtic e Monero.
Il malware possiede anche funzionalità di “information-stealing“, quindi raccoglie informazioni sul computer, file, cookie, elenco dei programmi installati e screenshot del desktop. Tutti i dati sono copiati nella cartella Temp, compressi e inviati al server dei cybercriminali.
Come sempre, il consiglio è non scaricare nulla da siti sconosciuti. Tra l’altro, Microsoft specifica chiaramente che non esiste nessun pacchetto standalone per le DirectX 12, in quanto sono già incluse in Windows 10 e vengono aggiornate tramite Windows Update.