Una truffa sofisticata ha messo in allerta la comunità degli utenti di criptovalute e tecnologia, dopo che un malware nascosto in Microsoft Office. Si dice che questa minaccia, individuata di recente dagli esperti di sicurezza informatica, si sia camuffata da legittimo toolkit su piattaforme di download popolari, cercando di rubare fondi digitali all'insaputa delle vittime.
La truffa prevede l'utilizzo di falsi pacchetti aggiuntivi di Microsoft Office pubblicati sul portale SourceForge., una nota piattaforma di hosting software. Questi file, sebbene presentati come innocui e utili, contengono un malware chiamato ClipBanker, specializzato nell'intercettazione degli indirizzi di criptovaluta copiati dagli utenti per reindirizzare denaro ai portafogli degli aggressori.
ClipBanker: malware nascosto in Microsoft Office
ClipBanker non agisce in modo visibile all'utente, ma attende che l'utente copi un indirizzo di portafoglio., pratica comune quando si esegue trasferimenti di criptovalute. Invece di mantenere quell'indirizzo, il malware lo sostituisce con un altro sotto il controllo dell'aggressore, dirottando così i fondi senza destare sospetti immediati.
L'azienda di sicurezza Kaspersky è stata una delle prime a indagare e a lanciare l'allarme su questo attacco., evidenziando che il nome del pacchetto ingannevole utilizzato in alcuni casi è “officepackage”. Sebbene includa componenti apparentemente autentici, il suo vero scopo è compromettere i sistemi degli utenti.
Ingegneria sociale e tecniche avanzate di evasione
Una delle tattiche utilizzate dai criminali per dare credibilità al file dannoso è la creazione di una pagina di download molto simile alle pagine ufficiali.. Vengono visualizzati i nomi degli strumenti più diffusi e i pulsanti di installazione che imitano processi legittimi, aumentando la probabilità che gli utenti cadano nella trappola.
Oltre a sostituire gli indirizzi dei wallet, il malware raccoglie informazioni dal sistema infetto., inclusi indirizzi IP, posizione geografica e nome utente. Queste informazioni vengono trasmesse agli autori del virus tramite la piattaforma di messaggistica Telegram, consentendo agli aggressori di mantenere il controllo remoto del dispositivo o addirittura di cederne l'accesso a terzi.
I dettagli tecnici sollevano sospetti su questo malware nascosto in Microsoft Office
Uno dei segnali più chiari che qualcosa non va è la dimensione dei file scaricati.. Secondo Kaspersky, molte delle applicazioni dannose sono insolitamente piccole, il che è insolito per il software Microsoft Office, anche se compresse. Altri pacchetti, d'altro canto, sono gonfiati con dati privi di significato per dare l'apparenza di una struttura autentica.
Il malware è stato progettato con la capacità di evitare il rilevamento. È possibile eseguire una scansione dell'ambiente del dispositivo per verificare se è già presente o se gli strumenti antivirus riescono a identificarlo. Se rileva uno qualsiasi di questi elementi, ha la capacità di autodistruggersi, rendendo difficile per gli esperti analizzarlo in seguito.
Utenti target? Per lo più di lingua russa
Gran parte dei contagi finora riscontrati si sono verificati in Russia.. Il rapporto di Kaspersky stima che fino al 90% di coloro che sono stati ingannati da questo schema provengano da quel Paese. Si stima che tra gennaio e marzo di quest'anno siano caduti nella frode oltre 4.600 utenti.
Anche la lingua dell'interfaccia utilizzata dagli aggressori è il russo, il che suggerisce che questo pubblico fosse l'obiettivo primario.. Tuttavia, poiché il software può essere distribuito a livello globale tramite Internet, non è escluso che nei prossimi mesi altri Paesi possano essere interessati.
Consigli per non cadere nella trappola di questo malware nascosto in Microsoft Office
Scaricare software solo da fonti ufficiali è la misura più efficace per ridurre il rischio di infezioni.. Kaspersky mette in guardia dall'utilizzare programmi piratati o siti alternativi, che spesso hanno meno controlli di qualità e requisiti di verifica.
I criminali continuano ad aggiornare le loro tecniche per far passare i loro programmi per autentici.. L'uso di piattaforme popolari e la progettazione di interfacce accattivanti rendono gli utenti meno esperti particolarmente vulnerabili.
Una minaccia crescente oltre Office
Questo tipo di malware non è un caso isolato.Anche altre aziende del settore, come Threat Fabric, hanno segnalato l'emergere di nuove varianti che colpiscono specificamente gli utenti di AndroidUno dei metodi rilevati prevede la visualizzazione di schermate false che richiedono la seed phrase del portafoglio, consentendo all'aggressore di assumere il pieno controllo dei fondi digitali della vittima.
La continua diversificazione degli attacchi dimostra che i criminali non cercano solo il profitto immediato. Sono anche disposti a vendere il controllo delle apparecchiature a terzi o a riutilizzare l'infrastruttura compromessa per nuove campagne criminali.
L'ingegnosa strategia di nascondere malware in quelli che sembrano essere strumenti legittimi di Microsoft Office evidenzia quanto gli utenti possano essere vulnerabili quando si affidano a fonti non ufficiali. Questi attacchi, che prendono di mira principalmente le criptovalute, sfruttano la scarsa conoscenza tecnica degli utenti di Internet e la loro ricerca di scorciatoie.
Si consiglia sempre di controllare la fonte del software prima di installarlo e di non fidarsi di siti o link sospetti. Condividi queste informazioni affinché più utenti siano a conoscenza delle nuove funzionalità e dei pericoli di questo malware nascosto in Microsoft Office.