Scoperta Satacom, la campagna che ruba le criptovalute

Tra le precauzioni controllare regolarmente i propri account per verificare attività sospette.

criptovalute

Kaspersky ha reso noto di aver scoperto Satacom, campagna che utilizza un’estensione malevola nei browser Chrome, Brave e Opera per rubare criptovalute. Quasi 30.000 utenti nel corso degli ultimi due mesi hanno rischiato di essere attaccati. Gli aggressori hanno messo in atto una serie di operazioni malevole per evitare che l’estensione possa essere rilevata, mentre gli utenti navigano sui siti di exchange di criptovalute colpiti, tra cui Coinbase e Binance. Inoltre, l’estensione permette agli attori delle minacce di nascondere qualsiasi notifica di transazione avvenuta, che viene inviata alle vittime da questi siti. Il report dettagliato della campagna è disponibile su Securelist.

Come agisce

La campagna è legata al Downloader Satacom, famiglia di malware attiva dal 2019 e distribuita principalmente via malvertising su siti di terze parti. I link o gli annunci malevoli reindirizzano gli utenti a falsi servizi di file-sharing e altre pagine che permettono di scaricare un archivio contenente il Downloader Satacom. In questo caso specifico, viene scaricata l’estensione dannosa. L’ultima campagna installa un’estensione del browser che ruba le criptovalute e nasconde la propria attività

Criptovalute a rischio, scoperta la campagna Satacom

L’obiettivo della campagna è rubare bitcoin (BTC) dai conti delle vittime effettuando web injection su siti specifici di criptovalute. Tuttavia, il malware può essere facilmente modificato per attaccare altre criptovalute. Infatti, installa un’estensione per i browser basati su Chromium – come Chrome, Brave e Opera – e prende di mira i singoli utenti che possiedono criptovalute in tutto il mondo. Secondo la telemetria di Kaspersky, tra aprile e maggio, quasi 30.000 utenti hanno rischiato di essere vittime della campagna. I Paesi più colpiti negli ultimi due mesi sono stati Brasile, Messico, Algeria, Turchia, India, Vietnam e Indonesia.

Non solo furti di criptovalute

L’estensione malevola modifica i browser mentre l’utente naviga sui siti di cryptocurrency exchange. La campagna colpisce gli utenti di Coinbase, Bybit, Kucoin, Huobi e Binance. Oltre a rubare le criptovalute, l’estensione esegue azioni aggiuntive per occultare l’attività principale, ad esempio nasconde le email di conferma delle transazioni e modifica i thread delle email esistenti così da creare thread falsi simili a quelli veri.

Come si espande l’infezione

In questa campagna, gli attori delle minacce non hanno bisogno di trovare modi per accedere agli store ufficiali delle estensioni, poiché utilizzano il Downloader Satacom. L’infezione inizia con un file ZIP, scaricato da un sito che simula i portali software, così da permettere all’utente di effettuare il download gratuito del software desiderato (spesso craccato). Satacom di solito scarica vari file binari sul computer della vittima. In questo caso, i ricercatori di Kaspersky hanno scoperto che è stato lo script PowerShell a eseguire l’installazione dell’estensione malevola nel browser.

Scoperta Satacom, la campagna che ruba le criptovalute

Successivamente, una serie di azioni dannose permette all’estensione di funzionare indisturbata, mentre l’utente naviga su internet. Di conseguenza, gli attori delle minacce sono capaci di trasferire i BTC dal portafoglio delle vittime al proprio, grazie l’utilizzo di web injection.

Controllare gli account

Haim Zigel, Malware Analyst di Kaspersky
I cybercriminali hanno migliorato l’estensione aggiungendo la capacità di controllarla attraverso modifiche agli script. Ciò significa che possono facilmente iniziare a prendere di mira altre criptovalute. Inoltre, dato che l’estensione è basata sul browser, può colpire le piattaforme Windows, Linux e macOS. Per precauzione, si consiglia agli utenti di controllare regolarmente i propri account in modo da notare attività sospette e di utilizzare soluzioni di sicurezza affidabili per proteggersi da minacce come queste.

Le raccomandazioni di Kaspersky

Per massimizzare i vantaggi dell’utilizzo sicuro delle criptovalute:

  • fare attenzione alle truffe di phishing dal momento che i truffatori utilizzano email di phishing per indurre gli utenti a rivelare credenziali di login o private keys. Controllare sempre l’URL del sito e non cliccare su link sospetti.
  • Non condividere con nessuno le private keys che aprono il portafoglio delle criptovalute.
  • Essere aggiornati sulle ultime minacce e best practice per proteggere le proprie criptovalute. Più si è informati in materia di protezione, più si sarà in grado di prevenire eventuali attacchi informatici.

Scoperta Satacom

  • Prima di investire in una criptovaluta, bisogna fare una ricerca approfondita sul progetto e sul team che lo sostiene. Controllare il sito del progetto, il white paper, e i canali social per assicurarsi che sia legittimo.
  • Usare soluzioni di sicurezza che proteggono i dispositivi da qualsiasi tipo di minaccia. Kaspersky Premium previene le frodi conosciute e sconosciute di criptovalute e anche dall’utilizzo non autorizzato della potenza di elaborazione del computer per estrarre le criptovalute.