{"id":29118,"date":"2024-07-31T15:39:08","date_gmt":"2024-07-31T13:39:08","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=29118"},"modified":"2024-07-31T16:40:02","modified_gmt":"2024-07-31T14:40:02","slug":"cryptowallet-seed-phrase-fake-leaks","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/cryptowallet-seed-phrase-fake-leaks\/29118\/","title":{"rendered":"Trappole criptovalutarie per avidi, ovvero come rubare a un ladro"},"content":{"rendered":"

Abbiamo trascorso diversi mesi studiando una nuova e molto intelligente truffa criptovalutaria in cui le vittime vengono lentamente e abilmente incoraggiate a installare un\u2019app dannosa di gestione delle criptovalute. Ma a essere truffati non erano semplici vittime: i truffatori, come novelli Robin Hood digitali, hanno preso di mira\u2026 altri ladri. Dai un\u2019occhiata approfondita a questa truffa e scopri come proteggere le tue criptovalute<\/a>.<\/p>\n

L\u2019esca iniziale<\/h2>\n

Tutto ha avuto inizio con l\u2019inoltro di un messaggio di Telegram in tema di criptovalute e tutto sommato abbastanza banale. Altri lo avrebbero cestinato, ma essendo a capo del team di analisti dei contenuti Web presso Kaspersky, ho sentito puzza di bruciato e ho deciso di esaminarlo. Per eludere i rilevamenti, il messaggio si presentava come una clip video di cinque secondi in cui era presente uno screenshot che mostrava una vendita frettolosa e fortemente scontata di due lucrosi progetti criptovalutari e i rispettivi link. Presumibilmente progettato per dare al destinatario un falso senso di sicurezza, il primo link conduceva a un vero scambio di criptovalute di secondo livello, anche se di piccole dimensioni. La vera esca si nascondeva dietro il secondo link.<\/p>\n

\"Lo

Lo screenshot dell\u2019annuncio di vendita del progetto di criptovalute \u00e8 racchiuso in una clip video di cinque secondi. \u00c8 l\u2019indizio che bisogna stare all\u2019erta!<\/p><\/div>\n

Un comodo malfunzionamento del server<\/h2>\n

Contrariamente a quanto ci si potesse aspettare, seguire l\u2019altro collegamento non ha mostrato alcun contenuto dannoso, ma cose molto pi\u00f9 interessanti: anzich\u00e9 una home page, come ci si poteva aspettare, il browser mostrava una directory root con alcuni nomi di file allettanti. Era come se il server fosse stato configurato male o se qualcuno avesse accidentalmente eliminato la home page, svelando al mondo i dati dell\u2019ignaro proprietario del dominio. Si poteva quindi fare clic su qualsiasi file dell\u2019elenco e visualizzarne il contenuto direttamente nel browser, poich\u00e9, caso vuole, tutti i file avevano formati comuni e facili da gestire, come TXT, PDF, PNG o JPG.<\/p>\n

\"Un

Un visitatore vede un elenco di file nella cartella principale. Non un solo file HTML in vista<\/p><\/div>\n

Sembra di essere entrati nella cartella dei dati personali di un ricco, ma ottuso, titolare di progetti di criptovalute. I file di testo contenevano dettagli di un portafoglio completi di seedphrase e le immagini erano screenshot che mostravano la prova di una grande quantit\u00e0 di criptovaluta inviata con successo, saldi considerevoli e uno stile di vita sontuoso.<\/p>\n

\"File

File di testo con indirizzi, accessi, password, seedphrase, chiavi di ripristino, PIN e chiavi private accuratamente raccolti<\/p><\/div>\n

Uno degli screenshot mostrava sullo sfondo un video di YouTube che spiegava come acquistare yacht e Ferrari con Bitcoin. Guarda caso, un catalogo PDF di questi yacht era presente nella stessa directory. Un\u2019esca davvero succosa, non c\u2019\u00e8 che dire.<\/p>\n

\"Lo

Lo schermo mostra un\u2019istantanea della vita di un ricco fannullone. Vuoi conoscere il MODO CORRETTO di acquistare Ferrari e yacht con Bitcoin?<\/p><\/div>\n

Portafogli genuini e contanti<\/h2>\n

La cosa intelligente di questa truffa \u00e8 che i dettagli del portafogli erano reali, vi si poteva effettivamente accedere e si poteva visualizzare, ad esempio, la cronologia delle transazioni Exodus o le risorse in altri portafogli per un valore di quasi 150.000 dollari USA, secondo DeBank.<\/p>\n

\"Il

Il portafogli Exodus \u00e8 vuoto ma reale, e qualcuno l\u2019ha usato di recente<\/p><\/div>\n

Tuttavia non si poteva prelevare nulla, poich\u00e9 i fondi erano in staking<\/a>, ovvero vincolati all\u2019account. Questo era un dettaglio capace di abbassare di molto lo scetticismo della vittima: l\u2019intera situazione sembrava riconducibile a dati reali incautamente esposti, anzich\u00e9 spam o phishing. E senza l\u2019ombra di link esterni o file dannosi da nessuna parte, niente di cui sospettare!<\/p>\n

\"Gli

Gli altri portafogli sono considerevoli. Peccato che i fondi siano in staking (cio\u00e8 bloccati)<\/p><\/div>\n

Abbiamo monitorato il sito per due mesi senza vedere alcun cambiamento. Ci \u00e8 sembrato che i truffatori aspettassero che si accumulasse una massa critica di utenti interessati, monitorandone il comportamento tramite l\u2019analisi del server Web. Solo dopo questo lungo periodo di riscaldamento sono passati alla fase successiva dell\u2019attacco.<\/p>\n

Una nuova speranza<\/h2>\n

La drammatica pausa di due mesi si concluse finalmente con un aggiornamento: un nuovo screenshot di Telegram che presumibilmente mostrava un pagamento Monero andato a buon fine. Osservando da vicino lo screenshot si notava un\u2019app di portafogli \u201cElectrum-XMR\u201d con un registro delle transazioni e un saldo considerevole di quasi 6000 token Monero (XMR), pari a circa un milione di dollari al momento di pubblicare questo post.<\/p>\n

\"Inizia

Inizia la fase attiva: un portafogli che sembra contenere circa un milione di dollari<\/p><\/div>\n

Per una fortunata coincidenza, accanto allo screenshot appariva un nuovo file di testo contenente la seedphrase per il portafogli.<\/p>\n

\"L'esca

L\u2019esca \u00e8 la seedphrase per il portafogli<\/p><\/div>\n

A questo punto, qualunque delinquente si sarebbe precipitato a scaricare un portafogli Electrum per accedere all\u2019account dello sprovveduto negligente e svuotarne i fondi rimanenti. Peccato per\u00f2 che Electrum supporta solo Bitcoin, non Monero, e richiede una chiave privata (e non una seedphrase) per riottenere l\u2019accesso a un account. Nel tentativo di ripristinare la chiave dalla seedphrase, ogni convertitore legittimo avrebbe affermato che il formato della seedphrase non era valido.<\/p>\n

Ma l\u2019avidit\u00e0 offusca il giudizio: dopotutto, si parla di un milione di dollari e bisogna sbrigarsi prima che lo rubi qualcun altro. Gli artisti dei soldi facili saranno certamente andati su Google a cercare \u201cElectrum XMR\u201d o semplicemente \u201cElectrum Monero\u201d. In tutti i casi il risultato migliore indirizzava a un sito Web di un (presunto) fork di Electrum che supportava Monero.<\/p>\n

La versione \"giusta\" del portafogli viene visualizzata nella parte superiore dei risultati della ricerca

La versione \u201cgiusta\u201d del portafogli viene visualizzata nella parte superiore dei risultati della ricerca<\/p><\/div>\n

Nel design era simile a quello del sito Web Electrum originale e, in tipico stile open source, presentava ogni tipo di descrizione, collegamenti a GitHub (s\u00ec, ma al repository Electrum originale, non a quello di Electrum-XMR), una nota che diceva esplicitamente che era un fork per supportare Monero e pratici collegamenti ai programmi di installazione in macOS, Windows e Linux.<\/p>\n

\"Il

Il sito Web per l\u2019app del falso portafogli \u00e8 molto ben fatto<\/p><\/div>\n

\u00c8 qui che il cacciatore diventa inconsapevolmente preda. Il download e l\u2019installazione di Electrum-XMR infettano il computer con malware identificato da Kaspersky come Backdoor.OLE2.RA-Based.a<\/em>, che fornisce agli aggressori un accesso remoto nascosto. Dopo di che verosimilmente esegue la scansione del computer e ruba i dati del portafogli di criptovalute e qualsiasi altra informazione preziosa.<\/p>\n

La nostra soluzione di sicurezza<\/a>\u00a0avrebbe bloccato il sito Web dannoso, per non parlare di un tentativo di installazione del trojan, ma difficilmente i cacciatori di criptovalute desiderosi di mettere le mani sul denaro altrui sono nostri utenti.<\/p>\n

\"La

La nostra sicurezza blocca il sito dannoso, per non parlare del tentativo di installare il Trojan<\/p><\/div>\n

All\u2019improvviso, una seconda iterazione<\/h2>\n

Qualche tempo dopo avere finito di indagare su questa impresa di ingegneria sociale abbiamo ricevuto un\u2019altra esca che non ci ha affatto sorpreso. Questa volta i truffatori sono passati dalla cottura a vapore al fritto in olio bollente. Lo screenshot mostrava un portafogli falso con un saldo ingente accanto a un file di testo aperto contenente numerose informazioni personali e un link a un sito dannoso. Questa truffa ha evidentemente dimostrato di dare buoni frutti, pertanto ci aspettiamo di vedere molti altri attacchi simili in futuro.<\/p>\n

\"Questa

Questa seconda versione vede i truffatori arrivare subito al sodo raccogliendo tutte le informazioni rilevanti in uno screenshot<\/p><\/div>\n

Riconoscere l\u2019attacco<\/h2>\n

Le vittime della truffa di cui abbiamo parlato non suscitano alcuna simpatia, visto che hanno abboccato all\u2019amo cercando di rubare denaro altrui. Tuttavia, i truffatori inventano sempre nuovi trucchi e la prossima iterazione potrebbe assumere le apparenze di un\u2019occasione apparentemente etica di far soldi. Ad esempio, potresti ricevere accidentalmente uno screenshot che pubblicizza un lucroso airdrop, con il collegamento direttamente nella barra degli indirizzi\u2026<\/p>\n

Quindi, stai attento e prendi qualsiasi informazione con le pinze. Ogni fase dell\u2019attacco era a suo modo sospetta. L\u2019annuncio di vendita del sito Web veniva presentato sotto forma di clip video contenente uno screenshot, ovviamente per aggirare gli algoritmi anti-spam. Un sito Web che non contiene altro che file di testo non criptati e i dati di un portafogli \u00e8 troppo bello per essere vero. Il dominio che presumibilmente ospitava il fork di criptovalute era stato registrato appena due mesi prima dell\u2019attacco. Ancora pi\u00f9 importante, tuttavia, il panorama criptovalutario \u00e8 talmente a rischio di truffe che l\u2019uso di misconosciute app di portafogli \u00e8 un rischio inaccettabile. Perci\u00f2, attieniti alla procedura seguente:<\/p>\n