Durante un monitoraggio di routine su attività dannose rivolte a wallet di criptovaluta, Cyble Research Labs si è imbattuto in un post del ricercatore Dee che menzionava un falso sito di Atomic Wallet allestito per la distribuzione del malware Mars Stealer ed ha voluto aapprofondire il caso.
Mars Stealer
Mars Stealer, scoperto nel giugno 2021 e disponibile per la vendita su alcuni forum underground di criminalità informatica, prende di mira principalmente le estensioni dei browser, le estensioni crittografiche, i wallett e i plug-in 2FA.
Il falso sito Atomic Wallet
Il sito di phishing “hxxps://atomic-wallet[.]net” che presenta loghi e nomi di Atomic Wallett (il vero sito è https://atomicwallet.io) sembra autentico anche perché fornisce recensioni affidabili, cashback, FAQ, contatti, supporto e aggiornamenti.
Il pulsante “Download” reindirizza alla pagina delle opzioni di download, dove è possibile scaricare la versione del Wallet per Windows, iOS e Android.
In realtà solo quando l’utente fa click sul pulsante “Download for Windows “, ci si collega ad una URL short “hxxps://bit[.]ly/3PRDyH8” che scarica un file archivio “Atomic Wallet.zip ” (Il pulsante App Store è inattivo mentre quello Google Play reindirizza al link originale Atomic Wallet su Play Store).
Tale archivio contiene un file .bat che se eseguito avvia la catena d’infezione per installare Mars Stealer.
Un’installazione andata a buon fine consente a Mars Stealer di carpire informazioni sensibili dal dispositivo della vittima ed esfiltrare i dati rubati inviandoli al server C2.
Considerazioni e consigli
Secondo i ricercatori, “I TA dietro Mars Stealer stanno adottando sofisticati attacchi di phishing per distribuire Mars Stealer e raccogliere credenziali utente, informazioni di sistema e altri dati sensibili. I criminali possono utilizzare credenziali compromesse per effettuare attacchi per rimanere nascosti ed evitare di far scattare qualsiasi regola di monitoraggio della sicurezza, avvisando così le vittime del tentativo di compromissione.”
Ecco alcuni consigli di prevenzione:
- Evitare di scaricare software pirata da siti non verificati.
- Usare password complesse e applicare l’autenticazione a più fattori ove possibile.
- Utilizzare software antivirus e di sicurezza Internet su tutti i dispositivi connessi, inclusi PC, laptop e dispositivi mobili.
- Astenersi dall’aprire collegamenti e allegati e-mail non attendibili senza prima verificarne l’autenticità.
