NFT Mystery Box di Binance per distribuire RedLine

I ricercatori di Netspoke Threat Labs hanno scoperto ad aprile una nuova campagna studiata per distribuire il malware RedLine Stealer. I cybercriminali hanno sfruttato YouTube per pubblicizzare bot che permettevano di ottenere le NFT Mystery Box di Binance. In realtà l’unica sorpresa era quella di subire il furto di numerosi dati personali.

RedLine Stealer in bot per NFT Mystery Box

Le NFT Mystery Box sono molto ricercate dagli utenti perché possono nascondere NFT rari da migliaia o milioni di euro. Binance offre però un numero limitato di NFT Mystery Box, quindi è molto difficile acquistarne una. Dato che un bot offre maggiori probabilità, i cybercriminali hanno pubblicato una serie di video su YouTube con i link al codice di bot fasulli presenti su GitHub.

I video, pubblicati su diversi canali YouTube, sono stati rimossi (non è noto se dal proprietario dell’account o da Google). Nella descrizione c’erano i dettagli sul bot e il link per scaricarlo da GitHub. I cinque video scoperti da Netspoke Threat Labs puntavano al file BinanceNFT.bot_v1.3.zip. L’archivio conteneva tre file: BinanceNFT.bot v.1.3.exe (RedLine Stealer), VC_redist.x86.exe (Microsoft Visual C++ Redistributable installer) e README.txt (istruzioni per eseguire il bot).

L’installer Microsoft Visual C++ Redistributable è necessario perché RedLine Stealer è stato scritto in .NET. Il malware utilizza varie tecniche per eludere le protezioni del sistema operativo e delle soluzioni di sicurezza. In alcuni casi è stato utilizzato un certificato digitale di NordVPN.

Fortunatamente, RedLine Stealer viene rilevato e bloccato da tutti gli antivirus recenti, come Norton 360 Premium. Senza un’adeguata protezione c’è il rischio di cadere vittima di cybercriminali che cercano di rubare e vendere i dati personali degli utenti, tra cui password memorizzate nei browser, credenziali di VPN e portafogli di criptovalute.