No, la sicurezza e la privacy non sono minacciate solamente dalle truffe che corrono tramite campagne di phishing su email e messaggi sospetti, anche l’app di messaggistica istantanea Telegram e Google Fogli sono mezzi con cui gli hacker raggiungono i loro fini.
Le preoccupazioni intorno ad Angry Stealer
Angry Stealer è un malware infostealer, quella tipologia di malware progettato per rubare informazioni e dati sensibili (anche e soprattutto di tipo finanziario) con lo scopo di commettere furti d’identità e frodi. La pericolosità di questo tipo di malware è che può infettare un dispositivo tramite email di phishing, ma anche download di software, vulnerabilità del proprio sistema o per il download automatico che avviene quando si visita un sito web non sicuro.
Una peculiarità di Angry Stealer è che è stato promosso come vero e proprio strumento per il furto illecito di dati. Gli hacker, infatti, lo stanno pubblicizzando su diverse piattaforme social, tra cui Telegram, aumentando significativamente il numero di potenziali aggressori e la diffusione del malware.
Tra gli aspetti preoccupanti di questo malware c’è che prende di mira un’ampia gamma di dati sensibili tra quelli del browser, il portafogli di criptovalute, le credenziali VPN e le informazioni di sistema. Angry Stealer utilizza tecniche avanzate e tattiche di rebranding tanto che potrebbe essere una versione aggiornata del malware Rage Stealer (condividono diverse caratteristiche, funzioni e parti di codice).
Il programma per realizzare il malware (dropper) è un eseguibile Win32 a 32 bit scritto in .NET le cui componenti principali sono Stepasha.exe e MotherRussia.exe. Stepasha.exe tenta di rubare le informazioni sensibili come password, informazioni di sistema, cookie, dettagli del portafoglio di criptovaluta, le informazioni di riempimento automatico e i token Discord. I dati rubati vengono caricati sulle API di Telegram tramite credenziali di autenticazione integrate. Tra gli aspetti interessanti c’è che questo eseguibile ha anche la capacità di ignorare la convalida SSL.
MotherRussia.exe, invece, è progettato per catturare più vittime generando un malware personalizzato. Il team di ricerca che lo ha individuato sospetta sia in grado di aprire le sessioni di desktop remoto per diffondersi.
Una volta che il malware è riuscito a infettare il dispositivo inizia una raccolta approfondita e sistematica dei dati sensibili cercando costantemente di estrarre password, cookie, segnalibri, processi in esecuzione e anche di catturare le varie schermate. Il malware dà priorità alle cartelle e ai documenti che potrebbero contenere informazioni sensibili raccogliendo anche l’indirizzo IP del dispositivo, i dati della rete e la posizione geografica.
Angry Stelaer sembra diffondersi tramite negligenza, sviste ed errori umani ed è il motivo per cui gli esperti di sicurezza ricordano l’importanza di prestare sempre la massima attenzione e di dotarsi di programmi di sicurezza validi e costantemente aggiornati.
Voldemort, il malware che sembra provenire dalle autorità fiscali
Nelle ultime settimane compagnie assicurative, istituti scolastici, società di logistica, aziende e organizzazioni di tutto il mondo stanno ricevendo un’ondata di email di phishing (più di 20000) contenenti il malware denominato Voldemort. La particolarità di questo malware è che sfrutta Google Fogli per controllare e gestire il flusso di dati rubando informazioni sensibili.
Le email contenenti il malware sembrano provenire dalle autorità fiscali di Gran Bretagna, Francia, Italia, Germania, Stati Uniti, Giappone e India.
Voldemort accede ai dispositivi tramite siti web e file mascherati raccogliendo informazioni quali il nome del PC, il nome utente e i programmi installati. Questi dati vengono crittografati e caricati sul cloud di Google dove gli hacker possono accedervi e analizzarli. Il malware sfrutta le falle di sicurezza e diverse tecniche insolite (come le funzioni di ricerca di Windows e Cloudflare Tunnel) per comunicare con gli hacker tramite l’API di Google Fogli. Gli esperti di sicurezza sospettano che dietro il malware Voldemort ci siano hacker finanziati da alcuni Paesi con l’obiettivo di perseguire attività di spionaggio.
Per proteggersi da questo malware (e simili) è consigliato di adottare un approccio su più livello. Questo prevede il blocco delle connessioni sospette, la costante installazione di aggiornamenti di sicurezza e l’attenzione sui messaggi di phishing che si ricevono.