Nuova minaccia informatica: malware per il mining di criptovalute e clipper veicolati tramite software crackato su SourceForge

Una nuova campagna malevola che sfrutta software crackato caricato su SourceForge, popolare repository open source, sta preoccupando esperti di cybersicurezza. Ricercatori del team di sicurezza di ThreatLabz di Zscaler hanno individuato una strategia sofisticata che utilizza versioni compromesse di applicazioni legittime per diffondere malware Clipper e cryptominer. 

Lo scopo principale è monetizzare illegalmente sfruttando le risorse dei computer delle vittime per il mining di criptovalute e, contemporaneamente, intercettare indirizzi digitali per dirottare transazioni crittografiche verso conti controllati dagli attaccanti.

Software compromesso travestito da strumenti popolari

I malintenzionati hanno caricato su SourceForge versioni compromesse di software di uso comune, come:

• Apple Security Update
• Google Chrome
• Windows Defender
• Zoom
• Advanced IP Scanner
• CrystalDiskInfo
• CPU-Z

Questi file, apparentemente identici agli originali, incorporano codice maligno. Grazie alla reputazione di SourceForge e alla popolarità dei software scelti, gli attaccanti riescono a indurre numerosi utenti a scaricare questi eseguibili infetti senza sospetto.

Meccanismo di infezione: inganno e silenziosa persistenza

Una volta che l’utente esegue il programma infetto, il malware procede con un metodo in due fasi:

1. Dropper e AutoIt Compiler: Viene eseguito un droplet scritto in AutoIt, un linguaggio di scripting popolare che consente di automatizzare operazioni in Windows. Questo dropper ha il compito di installare in maniera furtiva altri componenti maliziosi, come clipper e cryptominer.

2. Installazione e persistenza: I payload malevoli vengono nascosti in directory Windows predefinite, spesso con nomi che imitano file di sistema per non essere notati. Inoltre, gli autori dell’attacco archiviano il malware all’interno di file compattati, protetti da password, e usano estensioni come `.ocx` (tipicamente utilizzate per librerie ActiveX) per camuffare ulteriormente le loro reali intenzioni.

Il sistema garantisce persistenza sul dispositivo infetto creando voci di registro e scorciatoie nella cartella di avvio, così da essere eseguiti ad ogni riavvio.

Clipper: dirottamento di criptovalute con un colpo di copia-incolla

Il Clipper malware è progettato per sfruttare un comportamento molto diffuso tra gli utenti di criptovalute: il copia-incolla degli indirizzi dei wallet.

Una volta attivo, il Clipper monitora continuamente il contenuto degli appunti (clipboard) del sistema alla ricerca di pattern che corrispondano a indirizzi di portafogli Bitcoin, Ethereum o altri token. Quando identifica un indirizzo, lo sostituisce silenziosamente con uno controllato dagli aggressori, intercettando così potenziali transazioni.

Questa tecnica è estremamente subdola: l’utente, convinto di aver copiato il proprio indirizzo, invia in realtà i fondi all’account del cybercriminale senza accorgersi di nulla.

Cryptominer: il furto delle risorse con download di software infetto

Accanto al clipper, il malware utilizza un cryptominer per sfruttare la potenza di calcolo della macchina infetta allo scopo di minare illegalmente criptovalute, tipicamente Monero (XMR), apprezzato nel mondo del cybercrimine per la sua natura anonima.

Il miner usa strumenti come XMRig, spesso modificati per evitare il rilevamento antivirus. Il codice è calibrato per funzionare in background e consumare risorse in modo tale da non destare sospetti evidenti, anche se con il tempo l’utente potrebbe notare rallentamenti, surriscaldamenti del dispositivo e aumento dei consumi energetici.

Un attacco costruito con attenzione

Uno degli elementi più insidiosi di questa campagna è la sua sofisticazione strategica. Gli attori coinvolti hanno adottato diverse tecniche per evitare il rilevamento:

• Uso di linguaggio AutoIt per confondere i sistemi antivirus.
• Distribuzione attraverso un canale generalmente considerato affidabile come SourceForge.
• Utilizzo di file eseguibili che simulano software legittimi, rendendo difficile per l’utente distinguerli dagli originali.
• Codifica dei componenti dannosi in file protetti da password, per ostacolare l’analisi automatica da parte dei sistemi di sicurezza.
• Impiego di estensioni non convenzionali per i file di malware.

I consigli degli esperti per difendersi

Gli analisti di cybersicurezza sottolineano l’importanza di scaricare software solo da fonti ufficiali e affidabili. SourceForge è normalmente considerato sicuro, ma il caricamento di software compromesso da parte di terzi malintenzionati ha dimostrato come anche piattaforme storiche possano diventare veicolo di *software malevolo*.

Inoltre, è fondamentale adottare soluzioni antivirus aggiornate, monitorare in maniera regolare l’uso delle risorse di sistema e fare attenzione a comportamenti anomali del computer, come rallentamenti improvvisi o ventole sempre attive.

Una battaglia in continua evoluzione

Questo attacco dimostra ancora una volta quanto il panorama delle minacce informatiche sia in continua evoluzione. I criminali informatici non solo dispongono di competenze tecniche avanzate, ma sono anche abili nel costruire campagne ingannevoli, ben orchestrate e in grado di colpire con efficacia.

La combinazione di clipper e miner all’interno di file apparentemente innocui rappresenta una minaccia doppia: non solo si mette a rischio il portafoglio digitale degli utenti, ma si sfrutta anche a lungo termine il loro dispositivo per arricchire i cybercriminali.

L’unica arma davvero efficace resta la consapevolezza degli utenti unita a buone pratiche di sicurezza digitale. Restare aggiornati sulle nuove campagne malevole e installare software solo da fonti certificate sono i primi passi per proteggersi da attacchi sempre più ingegnosi.