L’ascesa senza eguali della criptovaluta ha mobilitato non solo gli investitori, ma anche i cybercriminali. Una delle tante strategie poste in essere per appropriarsi indebitamente di bitcoin è quella ormai consolidata del phishing.
La crescita incredibile della criptovaluta non è sfuggita ai cybercriminali ed ha comportato un aumento esponenziale della loro attività. Lo scopo delle campagne poste in essere è quello di appropriarsi dei portafogli bitcoin; operazione che avviene attraverso massicce campagne di phishing oppure tramite hack dei siti preposti allo scambio di criptovalute.
Una delle tante campagne di phishing in corso è stata intercettata ed analizzata da Fortinet. La mail inviata alla potenziale vittima promuove l’uso di Gunbot, un trading bot per bitcoin. Ovviamente, l’allegato alla mail cha in apparenza sembra un semplice file jpeg, contiene uno script Visual Basic il cui compito è quello di scaricare un file .exe.
A sua volta l’eseguibile installa:
- Un Remote Administration Tool (i.e. RAT). Malware per l’amministrazione in remoto del sistema
- Un modulo RunPE per l’esecuzione di moduli tramite applicazioni specifiche.
- Software tipo WatchDog per evitare che l’utente possa terminare il processo.
Non mancano redirect su siti fasulli uguali a Gunthy e BitcoinTalk dove era possibile scaricare, fino a poco tempo fa, file funzionali alla campagna posta in essere.
Questa è solo una delle tante campagne di phishing promosse dai cybercriminali. Riportiamo a titolo informativo campagne che hanno preso di mira il wallet BlockChain e LocalBitcoins, sito, quest’ultimo, che consente lo scambio di criptovaluta direttamente tra utenti.
