Campagna di phishing con malware: Cheana Stealer
Recentemente, il Cyble Research and Intelligence Lab ha identificato una campagna di phishing particolarmente raffinata che imita “WarpVPN”, una popolare applicazione per VPN. Questa operazione malevola distribuisce un malware su misura per diversi sistemi operativi, tra cui Windows, Linux e macOS, attraverso un sito web fittizio progettato per sembrare legittimo. Il sito illusionista è costruito per fornire agli utenti indicazioni sull’installazione di specifici programmi, ingannandoli in questo modo.
Dopo l’installazione, il malware, conosciuto come Cheana Stealer, inizia a raccogliere dati di valore. Questo include estensioni del browser legate alle criptovalute, portafogli crittografici indipendenti, dettagli delle password salvate nel browser, login, cookie, chiavi SSH, password macOS e informazioni memorizzate nel Keychain.
Uno degli aspetti più insidiosi di questa campagna è la sua capacità di colpire utenti di diverse piattaforme attraverso la distribuzione di script specifici. Ad esempio, i comandi PowerShell su Windows scaricano uno script chiamato “install.bat” che verifica la presenza di Python, installa eventuali dipendenze necessarie e avvia un pacchetto malevolo noto come “hclockify-win”. Per quanto riguarda gli utenti Linux e macOS, vengono utilizzati script come “install-linux.sh” e “install.sh” che compiono operazioni simili, con l’aggiunta di un furto delle chiavi SSH.
Dal punto di vista della distribuzione del malware, i criminali informatici hanno sviluppato un’infrastruttura ben congegnata. Questo attacco è legato a un server di comando e controllo (C&C) denominato “ganache.live”, utilizzando un canale Telegram con oltre 54.000 abbonati per propagare il malware tramite il sito phishing che simula un servizio VPN. Grazie a questo approccio, i responsabili della campagna sono in grado di raggiungere un vasto pubblico, creando un’opportunità per raccogliere informazioni sensibili da un numero elevato di utenti.
È da notare che il Cheana Stealer non colpisce solo i portafogli delle criptovalute, che includono applicazioni come MetaMask e Trust Wallet, ma è anche altamente capace nel rubare password memorizzate e credenziali. Utilizza funzioni come “CryptUnprotectData()” per decifrare i dati di accesso memorizzati nei browser basati su Chrome e sfrutta “nss3.dll” per ottenere credenziali da Firefox. Il furto dei dati avviene attraverso richieste POST HTTPS all’API del server di comando e controllo, dove le informazioni rubate vengono compresse in archivi ZIP categorizzati.
I ricercatori di sicurezza hanno scoperto anche che gli attaccanti, sulla base delle analisi linguistiche, potrebbero non essere russi. Gestiscono i dati esfiltrati tramite un’interfaccia sviluppata con Django Rest Framework, il che suggerisce che l’operazione è gestita con competenza tecnica e strategica.
Il Cheana Stealer impiega anche tecniche di offuscamento per mescolare le acque, installando l’applicazione legittima Cloudflare Warp come esca, rendendo così la trappola più convincente per gli utenti inconsapevoli. Inoltre, questo malware è progettato per colpire diversi browser, tra cui Chrome, Firefox, Brave e Edge, dimostrando l’adattabilità e la versatilità dell’operazione.
Nel 2021, sembra che l’operazione sia cambiata di mano, il che indica una continua evoluzione nelle tecniche di attacco. Una strategia chiave sembra essere quella di costruire la fiducia degli utenti in software di sicurezza conosciuti prima di procedere ad attività più distruttive. Questo metodo incrementa significativamente il tasso di successo delle campagne di phishing, poiché gli utenti sono spesso riluttanti a sospettare di strumenti che già reputano affidabili.
Per difendersi da attacchi come quelli del Cheana Stealer, è cruciale adottare alcune pratiche di sicurezza essenziali. Prima di tutto, è fondamentale scaricare software unicamente da fonti affidabili e riconosciute. Gli utenti devono essere educati sui rischi del phishing e sull’importanza di verificare sempre l’autenticità dei servizi VPN. Una protezione robusta degli endpoint deve essere implementata per monitorare e bloccare le comunicazioni con i server di comando e controllo tramite strumenti di sicurezza adeguati.
Inoltre, è consigliabile abilitare l’autenticazione a più fattori (MFA) su tutti gli account per ridurre la possibilità di accesso non autorizzato. Ultimo ma non meno importante, le organizzazioni dovrebbero mantenere e testare regolarmente un piano di risposta agli incidenti, per essere pronte a gestire eventuali violazioni della sicurezza.
Il monitoraggio e l’analisi costante delle minacce rappresentano passi pratici e fondamentali nel combattere le campagne di malware generale e phishing. Un approccio proattivo è essenziale per mitigare il rischio di attacchi futuri e per garantire la sicurezza dei dati e delle informazioni personali.
La minaccia del Cheana Stealer è un campanello d’allarme sul fatto che la vigilanza è vitale in un panorama di minacce sempre in evoluzione. Essere preparati e informati è la chiave per proteggere se stessi dai pericoli rappresentati da queste sofisticate operazioni malevole.
