La fantasia degli hacker è, notoriamente, inesauribile. L’idea di fondo, però, è sempre la stessa: utilizzare servizi di terze parti in funzione di veri e proprii cavallo di Troia per infettare i dispositivi da colpire. Un’idea in fondo molto semplice, basata sul fatto che sono ancora troppi gli utenti imprudenti, pronti a scaricare video, audio o immagini senza pensarci troppo.

Proprio su questa premessa si fonda PennyWise, il nuovo malware approntato con il preciso intento di sottrarre criptovaluta dai dispositivi colpiti. Il veicolo utilizzato in questo caso è rappresentato da YouTube, spingendo i malcapitati a scaricare un software il quale è stato ideato con l’intento di rubare i dati da 30 wallet di criptovalute ed estensioni del browser.

Il malware è stato identificato a maggio e il passato 30 giugno la società di cybersecurity Cyble ha annunciato di averlo monitorato, dichiarandolo alla stregua di una minaccia emergente. Il suo nome è un chiaro omaggio al personaggio di uno dei romanzi horror di Stephen King e già questo dovrebbe far capire in maniera del tutto esauriente la serietà del pericolo.

PennyWise: come funziona la nuova minaccia hacker

PennyWise rappresenta una insidia notevole. Il malware, infatti, è in grado di sottrarre dal browser attaccato dati sensibili della vittima e informazioni di login. Può inoltre scattare screenshot di chat su applicazioni come Telegram e Discord. inoltre può attaccare una lunga serie di cold wallet come Armory, Bytecoin, Jaxx, Exodus, Electrum, Atomic Wallet, Guarda e Coinomi, andando a cercare i file relativi ai wallet nella directory e inviandone una copia agli hacker. Anche i portafogli elettronici offline, quindi, sono possibili obiettivi di attacco.

L’esca su cui hanno puntato gli hacker, in questo caso, sono dei video in cui si spiega come funziona il mining di Bitcoin. Un tema sempre molto attuale, e tale quindi da spingere molti utenti a cliccare sul link accluso per poter scaricare un software senza alcun costo. Tra le indicazioni c’è anche quella di disabilitare l’antivirus e già questo dovrebbe far scattare un notevole campanello d’allarme.

Nel suo rapporto, Cyble afferma che uno degli hacker che sono stati monitorati aveva postato sul proprio canale YouTube un’ottantina di video. All’inizio del mese, però, il canale incriminato è stato disabilitato. Link analoghi sono presenti su altri canali minori, adoperando come esca video in cui si propone agli utenti mining gratuito di NFT, Spotify Premium senza alcun costo e altre occasioni all’apparenza allettanti. Alcuni account sono stati creati da poche ore, confidando evidentemente nel fatto che molti utenti ignorano la realtà.

È poi da notare come il malware in questione sia stato ideato per non attivarsi nel caso in cui la potenziale vittima sia dislocata nel territorio di Russia, Ucraina, Bielorussia e Kazakistan. La spiegazione è da individuare nel timore che atti di pirateria informatica in questi Paesi possa spingere le autorità ad attività investigative. Gli autori del rapporto hanno peraltro scoperto che il malware converte i dati del fuso orario rubati alla vittima in Moscow Standard Time (MSK).

Il malware è un problema sempre più pressante in ambito crypto

Il malware rappresenta un problema sempre più preoccupante per il settore delle criptovalute. Gli episodi in tal senso sono innumerevoli, con gli hacker che hanno colpito duramente anche nel periodo in cui il Covid ha imperversato a livello globale. Un gran numero di aziende, tra cui anche quelle sanitarie, si sono trovate a dover combattere con programmi tesi a sottrarre dati sensibili o a bloccare i sistemi attaccati per chiedere un riscatto (ransomware).

Tra gli episodi più clamorosi in assoluto c’è quello che ha visto la morte di una donna, in Germania, nel corso di un trasporto all’ospedale, dopo che quello in cui doveva essere ricoverata era visto i propri sistemi informatici bloccati da un attacco hacking. Anche l’ospedale Spallanzani di Roma è stato oggetto di un attacco, teso a sottrarre informazioni chiave per la lotta al coronavirus.

Di fronte ad una situazione che rischia di sfuggire al controllo, le forze dell’ordine hanno iniziato a reagire con durezza. Proprio la scorsa settimana, uno dei membri di NetWalker, gruppo di hacker molto agguerrito, è stato dichiarato colpevole  per il riciclaggio di denaro in un tribunale degli Stati Uniti. L’organizzazione ha iniziato ad operare nel 2020 e da allora ha messo a segno una lunga teoria di raid, in particolare contro strutture sanitarie e scuole, i quali hanno fruttato una cinquantina di milioni di dollari.

Nel passato mese di marzo è stato identificato Mars Stealer, un malware strutturato in modo da prendere di mira i portafogli elettronici che fungono alla stregua di estensioni dei browser Chromium, tra cui MetaMask, Coinbase Wallet e Binance Chain Wallet.

Per capire meglio le proporzioni del fenomeno, basta dare uno sguardo ad un report pubblicato dall’inizio dell’anno dagli analisti di Chainalysis, in cui si afferma che anche la criminalità informatica scarsamente qualificata è in grado di utilizzare programmi malevoli al fine di sottrarre fondi agli HODLer di criptovalute. Ammonterebbe addirittura al 73% del complesso il capitale sottratto con il cryptojacking nell’arco temporale compreso tra il 2017 e il 2021.

Leggi ancheMicrosoft lancia l’allarme cryware, una nuova minaccia ai wallet di criptovalute