SicurezzaVirus

CryptoShuffler, quando i bitcoin spariscono da sotto il naso

Nel 1998 inizia la sua esperienza nel mondo IT in Mondadori e partecipa alla nascita di Web Marketing Tools di cui coordina la redazione. Redattore esperto di software per PC Magazine, e caporedattore di ComputerIdea, segue da circa 20 anni l'evoluzione del mondo hardware, software e dei servizi IT in un confronto continuo con le aziende leader del settore

Kaspersky mette in guarda dai malware in grado di attaccare le clipboard dei computer dove si copiano gli ID delle cryptovalute. Il trojan CryptoShuffler è tra questi. I rischi e come funziona

I crypto stealer sono una specifica categoria di malware che vengono utilizzati per infettare pc e altri device in modo da permettere il furto di cryptovalute. Intendiamoci non sono malware tali da mettere in crisi il modello blockchain tout court su cui si basano le cryptovalute come BitCoin, quanto piuttosto sono da qualificare come malware trojanin grado di attaccare gli utenti proprio sfruttando l’accesso ai loro sistemi in qualche fase della transazione.

L’ultima minaccia di questo genere, CryptoShuffler, è stata indagata da Kaspersky, un trojan che agisce in modo molto particolare e cioè nel momento in cui gli utenti copiano e incollano i numeri del portafoglio elettronico del destinatario della propria procedura di pagamento, cioè chi dovrebbe ricevere i soldi. 
Ecco come agisce. Quasi tutte le cryptovalute prevedono per il trasferimento del denaro la conoscenza dell’identificativo (ID) del destinatario, una sorta di IBAN.

la sostituzione dell'ID Wallet è a carico di un'API con funzioni di schermatura e agisce sul modello: OpenClipboard \ GetClipboardData \ SetClipboardData
La sostituzione dell’ID Wallet è a carico di un’API con funzioni di schermatura e agisce sul modello: OpenClipboard \ GetClipboardData \ SetClipboardData

CryptoShuffler, una volta attivato il trojan, monitora le clipboard dei computer infettati, ma mentre la fase di copia dell’ID avviene in modo corretto, poiché il trojan si è impossessato del controllo sulla clipboard al comando Incolla sostituirà quanto veramente copiato con l’ID del conto dell’attaccante.

La sostituzione avviene in pochi millisecondi, e l’operazione non è nemmeno troppo complicata perché è relativamente semplice individuare l’indirizzo del portafoglio dell’attaccato in quanto le cifre iniziali sono spesso identiche tra loro ed è quindi più facile creare indirizzi simili e un indirizzo non valido è ben diverso dall’aver incollato un indirizzo sbagliato ma valido. 

CryptoShuffler ovviamente gode di buona compagnia, come per esempio DiscordiaMiner su Cryptovaluta e NukeBot in uno scenario decisamente in evoluzione. Non ci stupiremmo infatti se con la diffusione delle cryptovalute la sofisticatezza dei livelli di attacco innalzasse ulteriormente l’asticella della sfida.

Ad oggi l’emissione di cryptovaluta, la cosiddetta attività di mining, a fronte di un investimento iniziale è relativamente facile, e anche per questo con la diffusione si è attivata l’attività del cybercrime. Kaspersky riporta che dopo un periodo di relativa quiete da giugno un cybercriminale è già riuscito ad attaccare alcuni portafogli Bitcoin per 23 BitCoin complessivi del valore di 140mila dollari.