Trappole criptovalutarie per avidi, ovvero come rubare a un ladro

Abbiamo trascorso diversi mesi studiando una nuova e molto intelligente truffa criptovalutaria in cui le vittime vengono lentamente e abilmente incoraggiate a installare un’app dannosa di gestione delle criptovalute. Ma a essere truffati non erano semplici vittime: i truffatori, come novelli Robin Hood digitali, hanno preso di mira… altri ladri. Dai un’occhiata approfondita a questa truffa e scopri come proteggere le tue criptovalute.

L’esca iniziale

Tutto ha avuto inizio con l’inoltro di un messaggio di Telegram in tema di criptovalute e tutto sommato abbastanza banale. Altri lo avrebbero cestinato, ma essendo a capo del team di analisti dei contenuti Web presso Kaspersky, ho sentito puzza di bruciato e ho deciso di esaminarlo. Per eludere i rilevamenti, il messaggio si presentava come una clip video di cinque secondi in cui era presente uno screenshot che mostrava una vendita frettolosa e fortemente scontata di due lucrosi progetti criptovalutari e i rispettivi link. Presumibilmente progettato per dare al destinatario un falso senso di sicurezza, il primo link conduceva a un vero scambio di criptovalute di secondo livello, anche se di piccole dimensioni. La vera esca si nascondeva dietro il secondo link.

Lo screenshot dell’annuncio di vendita del progetto di criptovalute è racchiuso in una clip video di cinque secondi. È l’indizio che bisogna stare all’erta!

Un comodo malfunzionamento del server

Contrariamente a quanto ci si potesse aspettare, seguire l’altro collegamento non ha mostrato alcun contenuto dannoso, ma cose molto più interessanti: anziché una home page, come ci si poteva aspettare, il browser mostrava una directory root con alcuni nomi di file allettanti. Era come se il server fosse stato configurato male o se qualcuno avesse accidentalmente eliminato la home page, svelando al mondo i dati dell’ignaro proprietario del dominio. Si poteva quindi fare clic su qualsiasi file dell’elenco e visualizzarne il contenuto direttamente nel browser, poiché, caso vuole, tutti i file avevano formati comuni e facili da gestire, come TXT, PDF, PNG o JPG.

Un visitatore vede un elenco di file nella cartella principale. Non un solo file HTML in vista

Sembra di essere entrati nella cartella dei dati personali di un ricco, ma ottuso, titolare di progetti di criptovalute. I file di testo contenevano dettagli di un portafoglio completi di seedphrase e le immagini erano screenshot che mostravano la prova di una grande quantità di criptovaluta inviata con successo, saldi considerevoli e uno stile di vita sontuoso.

File di testo con indirizzi, accessi, password, seedphrase, chiavi di ripristino, PIN e chiavi private accuratamente raccolti

Uno degli screenshot mostrava sullo sfondo un video di YouTube che spiegava come acquistare yacht e Ferrari con Bitcoin. Guarda caso, un catalogo PDF di questi yacht era presente nella stessa directory. Un’esca davvero succosa, non c’è che dire.

Lo schermo mostra un’istantanea della vita di un ricco fannullone. Vuoi conoscere il MODO CORRETTO di acquistare Ferrari e yacht con Bitcoin?

Portafogli genuini e contanti

La cosa intelligente di questa truffa è che i dettagli del portafogli erano reali, vi si poteva effettivamente accedere e si poteva visualizzare, ad esempio, la cronologia delle transazioni Exodus o le risorse in altri portafogli per un valore di quasi 150.000 dollari USA, secondo DeBank.

Il portafogli Exodus è vuoto ma reale, e qualcuno l’ha usato di recente

Tuttavia non si poteva prelevare nulla, poiché i fondi erano in staking, ovvero vincolati all’account. Questo era un dettaglio capace di abbassare di molto lo scetticismo della vittima: l’intera situazione sembrava riconducibile a dati reali incautamente esposti, anziché spam o phishing. E senza l’ombra di link esterni o file dannosi da nessuna parte, niente di cui sospettare!

Gli altri portafogli sono considerevoli. Peccato che i fondi siano in staking (cioè bloccati)

Abbiamo monitorato il sito per due mesi senza vedere alcun cambiamento. Ci è sembrato che i truffatori aspettassero che si accumulasse una massa critica di utenti interessati, monitorandone il comportamento tramite l’analisi del server Web. Solo dopo questo lungo periodo di riscaldamento sono passati alla fase successiva dell’attacco.

Una nuova speranza

La drammatica pausa di due mesi si concluse finalmente con un aggiornamento: un nuovo screenshot di Telegram che presumibilmente mostrava un pagamento Monero andato a buon fine. Osservando da vicino lo screenshot si notava un’app di portafogli “Electrum-XMR” con un registro delle transazioni e un saldo considerevole di quasi 6000 token Monero (XMR), pari a circa un milione di dollari al momento di pubblicare questo post.

Inizia la fase attiva: un portafogli che sembra contenere circa un milione di dollari

Per una fortunata coincidenza, accanto allo screenshot appariva un nuovo file di testo contenente la seedphrase per il portafogli.

L’esca è la seedphrase per il portafogli

A questo punto, qualunque delinquente si sarebbe precipitato a scaricare un portafogli Electrum per accedere all’account dello sprovveduto negligente e svuotarne i fondi rimanenti. Peccato però che Electrum supporta solo Bitcoin, non Monero, e richiede una chiave privata (e non una seedphrase) per riottenere l’accesso a un account. Nel tentativo di ripristinare la chiave dalla seedphrase, ogni convertitore legittimo avrebbe affermato che il formato della seedphrase non era valido.

Ma l’avidità offusca il giudizio: dopotutto, si parla di un milione di dollari e bisogna sbrigarsi prima che lo rubi qualcun altro. Gli artisti dei soldi facili saranno certamente andati su Google a cercare “Electrum XMR” o semplicemente “Electrum Monero”. In tutti i casi il risultato migliore indirizzava a un sito Web di un (presunto) fork di Electrum che supportava Monero.

La versione “giusta” del portafogli viene visualizzata nella parte superiore dei risultati della ricerca

Nel design era simile a quello del sito Web Electrum originale e, in tipico stile open source, presentava ogni tipo di descrizione, collegamenti a GitHub (sì, ma al repository Electrum originale, non a quello di Electrum-XMR), una nota che diceva esplicitamente che era un fork per supportare Monero e pratici collegamenti ai programmi di installazione in macOS, Windows e Linux.

Il sito Web per l’app del falso portafogli è molto ben fatto

È qui che il cacciatore diventa inconsapevolmente preda. Il download e l’installazione di Electrum-XMR infettano il computer con malware identificato da Kaspersky come Backdoor.OLE2.RA-Based.a, che fornisce agli aggressori un accesso remoto nascosto. Dopo di che verosimilmente esegue la scansione del computer e ruba i dati del portafogli di criptovalute e qualsiasi altra informazione preziosa.

La nostra soluzione di sicurezza avrebbe bloccato il sito Web dannoso, per non parlare di un tentativo di installazione del trojan, ma difficilmente i cacciatori di criptovalute desiderosi di mettere le mani sul denaro altrui sono nostri utenti.

La nostra sicurezza blocca il sito dannoso, per non parlare del tentativo di installare il Trojan

All’improvviso, una seconda iterazione

Qualche tempo dopo avere finito di indagare su questa impresa di ingegneria sociale abbiamo ricevuto un’altra esca che non ci ha affatto sorpreso. Questa volta i truffatori sono passati dalla cottura a vapore al fritto in olio bollente. Lo screenshot mostrava un portafogli falso con un saldo ingente accanto a un file di testo aperto contenente numerose informazioni personali e un link a un sito dannoso. Questa truffa ha evidentemente dimostrato di dare buoni frutti, pertanto ci aspettiamo di vedere molti altri attacchi simili in futuro.

Questa seconda versione vede i truffatori arrivare subito al sodo raccogliendo tutte le informazioni rilevanti in uno screenshot

Riconoscere l’attacco

Le vittime della truffa di cui abbiamo parlato non suscitano alcuna simpatia, visto che hanno abboccato all’amo cercando di rubare denaro altrui. Tuttavia, i truffatori inventano sempre nuovi trucchi e la prossima iterazione potrebbe assumere le apparenze di un’occasione apparentemente etica di far soldi. Ad esempio, potresti ricevere accidentalmente uno screenshot che pubblicizza un lucroso airdrop, con il collegamento direttamente nella barra degli indirizzi…

Quindi, stai attento e prendi qualsiasi informazione con le pinze. Ogni fase dell’attacco era a suo modo sospetta. L’annuncio di vendita del sito Web veniva presentato sotto forma di clip video contenente uno screenshot, ovviamente per aggirare gli algoritmi anti-spam. Un sito Web che non contiene altro che file di testo non criptati e i dati di un portafogli è troppo bello per essere vero. Il dominio che presumibilmente ospitava il fork di criptovalute era stato registrato appena due mesi prima dell’attacco. Ancora più importante, tuttavia, il panorama criptovalutario è talmente a rischio di truffe che l’uso di misconosciute app di portafogli è un rischio inaccettabile. Perciò, attieniti alla procedura seguente:

• Usa solo app di criptovalute ed exchange di chiara fama.
• Verifica attentamente di accedere solo tramite siti ufficiali e di scaricare app dalle fonti corrette.
• Leggi i nostri suggerimenti per individuare i truffatori online.
• Usa una protezione completa per computer e smartphone che ti impedisca di accedere a siti di phishing o di eseguire malware.
• Iscriviti al nostro blog e/o al nostro canale Telegram per essere tra i primi a conoscere le nuove minacce.