CryptoShuffler, il Trojan que ha rubato 140 mila dollari in Bitcoin

31 Ott 2017

Immaginate che un giorno vogliate utilizzare i Bitcoin per pagare, ad esempio, una pizza. Copiate l’indirizzo del vostro wallet dal sito Internet della pizzeria, digitate la somma e poi cliccate su “Invia”. Il pagamento parte ma la pizza non arriva. I proprietari della pizzeria affermano di non aver mai ricevuto il pagamento. Cosa è successo? Non arrabbiatevi con la pizzeria, la colpa è di CryptoShuffler.

A differenza dei normali criptoransomware, questo Trojan evita i colpi ad effetto e fa di tutto per passare inosservato. Rimane quatto quatto nella memoria del computer e vigila la sezione Appunti del sistema dove si immagazzinano temporaneamente le operazioni di copia e incolla.

Nel momento in cui CryptoShuffler individua l’indirizzo di un wallet di criptomonete tra gli Appunti (è piuttosto facile distinguerlo grazie alla sua lunghezza e alla successione specifica di alcuni caratteri), lo sostituisce con un altro indirizzo. Il risultato è che viene cambiato il destinatario del pagamento in Bitocin con quello indicato da CryptoShuffler.

Dopo aver analizzato il Trojan, Kaspersky Lab ha scoperto che il malware non colpisce solo i Bitcoin ma anche altre criptomonete quali Ethereum, Zcash, Monero, Dash, Dogecoin (sì, esiste) etc. L’attività che ha generato più introiti per il Trojan è stata la sostituzione dei wallet di Bitcoin: alla pubblicazione di questo post, i cybercriminali si sono appropriati di oltre 23 BTC (che corrispondono a circa 140 mila dollari con il tasso di cambio attuale).

Si è scoperto che gli altri wallet di criptomonete appartenenti ai creatori di CryptoShuffler contengono dalle decine alle centinaia di migliaia di dollari.

Il Trojan ha impiegato circa un anno per raccogliere tutti questi soldi. Il picco di attività di CryptoShuffler è stato registrato a fine 2016, poi una battuta d’arresto e infine la ripresa a giugno 2017.

Il Trojan ha ampiamente dimostrato che non è detto che un computer o uno smartphone infetti siano più lenti o che bisogna per forza visualizzare un messaggio di riscatto. Al contrario, molti esemplari di malware rimangono nell’ombra e operano il più furtivamente possibile: più a lungo passano inosservati, più portano denaro ai loro creatori.

Il nostro consiglio a tutti i possessori di critpomonete è di rimanere sempre vigili e di proteggere adeguatamente i propri dispositivi. I nostri prodotti sono in grado di individuare il Trojan CryptoShuffler con il nome Trojan-Banker.Win32.CryptoShuffler.gen. Ovviamente, tutte le sue azioni vengono bloccate.