Immagina come sarebbe il mondo se le carte dei tarocchi potessero predire con precisione qualsiasi evento. Forse avremmo potuto stroncare sul nascere l’Operazione Triangolazione e le vulnerabilità zero-day non esisterebbero affatto, poiché gli sviluppatori di software riceverebbero avvisi in anticipo grazie alle letture dei tarocchi.

Sembra incredibile? Ebbene, i nostri esperti hanno effettivamente esaminato metodi simili nella loro ultima scoperta! Continua a leggere per saperne di più sul nuovo trojan che abbiamo scoperto e su come lo abbiamo fatto.

Il trojan dei tarocchi

Il nuovo trojan, Trojan.Arcanum, viene distribuito tramite siti Web dedicati alla divinazione e alle pratiche esoteriche, camuffato da app “magica” per predire il futuro. A prima vista, sembra un programma innocuo che offre agli utenti la possibilità di disporre carte dei tarocchi virtuali, calcolare la compatibilità astrologica o addirittura “caricare un amuleto con l’energia dell’universo” (qualunque cosa significhi). Ma in realtà, dietro le quinte si sta verificando qualcosa di veramente mistico, nel peggiore dei modi possibili.

Una volta installato sul dispositivo dell’utente, Trojan.Arcanum si connette a un server C2 cloud e distribuisce il suo payload: lo stealer Autolycus.Hermes, il miner Karma.Miner e il cryptomalware Lysander.Scytale. Dopo aver raccolto i dati dell’utente (dati di accesso, password, data, ora e luogo di nascita, informazioni bancarie e così via), lo stealer li invia al cloud. Poi inizia il vero dramma: il trojan inizia a manipolare la vittima nella vita reale, ricorrendo a tecniche di social engineering.

Tramite notifiche pop-up, Trojan.Arcanum invia all’utente consigli pseudo esoterici, spingendolo a compiere determinate azioni. Ad esempio, se il trojan riesce ad accedere alle app bancarie della vittima e scopre fondi cospicui nel conto, gli autori degli attacchi inviano un comando per fornire alla vittima una falsa previsione sulla convenienza di grandi investimenti. Successivamente, la vittima potrebbe ricevere un’e-mail di phishing in cui gli viene offerta la possibilità di partecipare a una “startup promettente”. O forse no, dipende da come vanno le cose.

Nel frattempo, il Karma.Miner incorporato inizia a estrarre token KARMA e il trojan attiva un abbonamento a pagamento a dubbie “pratiche esoteriche” con addebiti mensili. Se l’utente rileva e interrompe il mining KARMA, il cryptomalware mescola casualmente segmenti dei file dell’utente senza alcuna possibilità di recupero.

In che modo abbiamo scoperto Trojan.Arcanum

Solitamente, andiamo a caccia di cyberminacce utilizzando algoritmi complessi e analisi dei dati. Ma cosa succede se la minaccia è troppo enigmatica? In questi casi, affidarsi alla lettura dei Tarocchi è la soluzione migliore. Ed è esattamente ciò che hanno fatto i nostri esperti. Durante l’esecuzione della divinazione sulla firma di un virus sconosciuto rilevato tramite KSN (Kaspersky Sacral Network), sono apparse diverse carte degli Arcani Maggiori, alcune delle quali rovesciate:

1. L’Imperatore: simbolo di potere, controllo e lungimiranza strategica. Significato: la minaccia è seria.
2. Il mago: capace di individuare vulnerabilità dove nessun altro lo fa. Astuto, proattivo e risoluto, il mago manipola abilmente le persone. Rovesciato, avverte della perdita di controllo. Significato: gli autori degli attacchi utilizzano tecniche di social engineering.
3. Il cavallo: rappresenta un individuo audace, deciso e avventuroso; simbolo di attività, cambiamento… e Trojan Horse. Rovesciata, la carta indica errori dovuti ad azioni impulsive. Significato: la minaccia potrebbe mascherarsi da app innocua scaricata casualmente.
4. La ruota: avverte che circostanze insormontabili sono al di fuori del controllo dell’utente e che una risoluzione favorevole verrà ritardata. Di solito indica una truffa finanziaria o miner.
5. La torre: predice una fase di cambiamento avviata non dalla persona ma dal destino, che si abbatte su di essa con forza implacabile. Un forte indicatore di una vulnerabilità zero-clic.
6. La morte: rappresenta la trasformazione, un cambiamento di cicli, una fine, una transizione verso un nuovo livello. Indica la presenza di cryptomalware.

Come appariva la lettura sul tavolo dell’esperto

Come proteggersi dal cybercrimine?

Proteggersi da un virus del genere è quasi impossibile, anche solo perché non esiste. Tutta questa storia è un’invenzione dall’inizio alla fine. Ma cosa impedisce che ciò diventi realtà in un determinato momento? I trojan e altri tipi di malware spesso si mascherano da app legittime e possono rubare tutti i tipi di dati. I miner sono stati a lungo distribuiti tramite link sotto popolari video di YouTube o videogiochi. Un ransomware è in grado di paralizzare il sistema assicurativo sanitario di un’intera nazione. Inoltre, i temi magici sono certamente abbastanza popolari da diventare un potenziale bersaglio per i cybercriminali. Ecco alcuni suggerimenti per rendere più sicura la vita digitale:

• Affidarsi a una tecnologia di sicurezza comprovata. Una lettura dei tarocchi non rileverà un virus né salverà uno smartphone o laptop da uno di questi, Kaspersky Premium invece sì.
• Limitare i permessi delle app. Se un’app di cartomanzia richiede l’accesso ai messaggi di testo, alla geolocalizzazione o al file system, meglio pensarci due volte: perché dovrebbe averne bisogno? Probabilmente si tratta di uno spyware camuffato e non di una tecnologia magica.
• Prestare molta attenzione agli abbonamenti. È opportuno controllare regolarmente gli abbonamenti nelle impostazioni dell’App Store, per non scoprire all’improvviso di aver pagato ogni mese un abbonamento a qualche Ordine Segreto dei Cartomanti.
• Non credere a tutto ciò che si legge online. Soprattutto il 1° aprile.