In seguito alla segnalazione di un ricercatore di sicurezza, gli esperti di Cyble hanno scoperto le caratteristiche di Typhon Stealer, un nuovo malware per Windows che permette ai cybercriminali di rubare dati da numerose applicazioni. Essendo uno “stealer” può eseguire diverse attività, come l’accesso alle password memorizzate nei browser e ai wallet delle criptovalute. Il consiglio è sempre lo stesso: installare un antivirus che blocca questo tipo di minaccia.
Typhon Stealer: numerose funzionalità
Il malware viene distribuito mediante un file LNK inserito nel corpo dell’email, nell’allegato o in software pirata. Quando l’utente apre il link viene eseguito un comando PowerShell che scarica Typhon Stealer dal server remoto e lo esegue. L’autore del malware ha aggiunto anche il modulo per un cryptominer XMRig, ma al momento non è attivo. Lo stealer viene venduto attraverso un canale Telegram a 50 dollari.
Il malware verifica inizialmente la presenza di antivirus, stabilisce la persistenza copiando se stesso nella directory Esecuzione automatica e crea un directory nascosta in cui verranno conservati i dati raccolti. Le funzionalità di Typhon Stealer sono numerose. Può sostituire l’indirizzo dei wallet nella clipboard, registrare i tasti premuti, rubare password e cookie da Edge, Chrome e Firefox, accedere ai dati delle applicazioni di messaggistica, rubare diversi tipi di file dal computer, le criptovalute dai wallet e le credenziali delle VPN.
I dati vengono quindi inviati ad un canale Telegram e caricati su AnonFiles. Gli esperti di Cyble consigliano di non scaricare software pirata, aggiornare il sistema operativo, usare password robuste, attivare l’autenticazione in due fattori e utilizzare una soluzione di sicurezza.