La scena degli sviluppatori di minacce online è in costante e vivace evoluzione. Solo nelle ultime settimane abbiamo avuto modo di raccontarvi degli attacchi subiti dai NAS della QNAP e delle contromisure diffuse dall’azienda, della diffusione di nuovi ransomware via Discord e dell’ipotesi, avanzata dalla Analyst1, che possa venirsi a creare un vero e proprio cartello del ransomware. Windows, a causa della sua diffusione e popolarità, è uno dei principali obiettivi dei cybercriminali – tale da rendere ancora attraente lo sviluppo di minacce per un os datato come Windows XP.
Come ribattuto da Bleeping Computer, il ricercatore ed esperto di sicurezza informatica Oliver Hough ha svelato con un tweet una nuova minaccia per Microsoft Windows. Hough ha mostrato di aver trovato una falsa pagina di download delle DirectX 12 di Microsoft: interagendovi, essa installa sul vostro PC malware che derubano il vostro portafogli di criptovalute, i dati presenti sulla memoria e, soprattutto, le password salvate. Il sito è estremamente curato, riportando anche un modulo di contatto, una politica sulla privacy, un disclaimer e una pagina di violazione DMCA.
Cosa accade se effettuiamo un download dal sito? Cliccando sul pulsante di download, si è reindirizzati su una pagina esterna da dove scaricare un file. Il file è rinominato, in base alla versione scelta (32 o 64bit) “6080b4_DirectX-12-Down.zip” oppure “6083040a__Disclaimer.zip“. Il funzionamento di questi programmi è identico: quando vengono lanciati, scaricano il malware da un sito remoto e lo eseguono. Si tratta di un malware che ruba informazioni, traendole dai cookie della vittima, dai file, dalle informazioni presenti sul sistema, dai programmi installati e addirittura facendo uno screenshot del desktop. Il malware tenta anche di rubare i portafogli di criptovalute presenti in memoria. Tutti i dati vengono raccolti in una cartella %Temp%, che il malware comprime e invia ai cybercriminali. A questo punto possono analizzare i dati e utilizzarli per altre attività dannose.
