Secondo i ricercatori di Kaspersky Lab sarebbe all'opera ormai da anni un creatore del Trojan CryptoShuffler mirato alla sottrazione di alcune delle cryptovalute più note quali Bitcoin, Ether, Zcash, Dash e Monero. Questa attività avrebbe avuto il suo momento culminante alla fine del 2016, per poi operare con minore intensità fino al giugno scorso. A oggi i Bitcoin trafugati in questo modo sarebbero stati 23, per un valore che supera già abbondantemente i 6 mila dollari per unità.
Per descrivere quella che è l'azione dei crypto stealer è utile risalire la filiera del Bitcoin fino alla sua emissione (mining); per gestire una mining farm è necessario un investimento iniziale a cui sommare costi di manutenzione e di alimentazione, si è però in grado di generare moneta virtuale convertibile in altre divise o trasferibile su wallet dedicati.
Il mercato delle cryptovalute non è regolamentato è opera in un contesto non centralizzato, quindi nel momento in cui una transazione viene conclusa con insuccesso non vi è alcuna possibilità di tornare in possesso del denaro perduto. Un modo per approfittare di questa dinamica è quello di utilizzare soluzioni come CryptoShuffler, che attaccano gli utenti quando copiano e incollano i numeri di un wallet a cui inviare pagamenti.
Nel momento in cui vengono avviate esse iniziano a monitorare la clipboard dei device coinvolti e attendono che un utilizzatore copi i numeri di un portafoglio per poi incollarli tra i dati richiesti per perfezionare una transazione; a quel punto l'attacco viene scatenato sostituendo l'indirizzo del portafoglio di destinazione con un altro. L'utente finisce quindi per incollare inconsapevolmente l'identificativo errato e trasferisce denaro nelle mani sbagliate.
Tale sostituzione avviene in tempi non percepibili per un essere umano e funziona anche perché buona parte degli indirizzi dei wallet presentano le stesse cifre iniziali e un numero di caratteri ripetitivo. Gli indirizzi dei portafogli in blockchain sono di difficile memorizzazione e questo è un ulteriore fattore a favore dei crypto stealer.
Il metodo più semplice e gratuito per proteggersi da tali eventualità è quello di prestare attenzione nel corso delle transazioni, controllando che l'ID del wallet indicato sia corretto prima di autorizzare il pagamento. Si consideri infatti che gli indirizzi dei crypto stealer non sono "invalidi", quindi il sistema li considererà accettabili come qualsiasi altro, indipendentemente dalla reale volontà del mittente.
In alternativa è possibile sfruttare soluzioni come Safe Money di Kaspersky, utile per bloccare minacce come Trojan-Banker.Win32.CryptoShuffler.gen e Trojan.Win32.DiscordiaMiner perché effettua scansioni in cerca di anomalie e verifica grazie a Protected Browser che che nella clipboard non siano archiviati dati sensibili.
Via Securelist