Nel secondo trimestre del 2022, i ricercatori di Kaspersky hanno osservato che i gruppi APT (Advanced Persistent Threat) prendono sempre più di mira il settore delle criptovalute.
Utilizzando come esca i contenuti relativi alla moneta virtuale e ad avvisi delle forze dell’ordine, il threat actor che si nasconde dietro a questa nuova e attivissima campagna, soprannominata “NaiveCopy”, prende di mira investitori in azioni e criptovalute in Corea del Sud.
Inoltre – hanno sottolineato gli esperti di cybersecurity di Kaspersky –, ulteriori analisi delle tattiche e delle tecniche di NaiveCopy hanno rivelato un’altra campagna correlata, verificatasi l’anno precedente, rivolta ad entità sconosciute sia in Messico che nel Regno Unito.
Gli attori APT cambiano continuamente le loro tattiche, affinano i loro strumenti e sviluppano nuove tecniche. Per aiutare gli utenti privati e le aziende a tenere il passo con questi cambiamenti e a rimanere informati sulle potenziali minacce da affrontare, il Global Research and Analysis Team (GReAT) di Kaspersky fornisce report trimestrali sugli sviluppi più importanti nel panorama delle APT.
Gli esperti di Kaspersky non hanno rilevato collegamenti precisi con threat actor noti, ma ritengono che ci sia una familiarità con la lingua coreana e che sia stata impiegata una tattica simile a quella utilizzata dal gruppo Konni per rubare le credenziali di accesso di un noto portale coreano.
Ma non è finita qui: purtroppo, il panorama delle cyber-minacce è sempre in movimento.
La società di cybersecurity ha infatti reso noto che il 26 luglio, utilizzando il sistema automatico interno per il monitoraggio dei repository open source, i ricercatori Kaspersky hanno identificato una campagna malevola denominata LofyLife.
La campagna utilizzava quattro pacchetti malevoli che diffondevano i malware Volt Stealer e Lofy Stealer nel repository open source npm per raccogliere varie informazioni dalle vittime, tra cui token Discord e informazioni sulle carte di credito, allo scopo di spiarle per un dato periodo di tempo.
I repository dannosi identificati davano l’impressione di essere pacchetti utilizzati per attività ordinarie, come la formattazione dei titoli o alcune funzioni di gioco, ma contenevano codici JavaScript e Python dannosi efficacemente nascosti.
Questo li ha resi più difficili da analizzare quando sono stati caricati sul repository, ha sottolineato Kaspersky. Il payload dannoso consisteva in un malware scritto in Python, denominato Volt Stealer, e in un malware JavaScript, denominato Lofy Stealer, che possiede numerose funzionalità.
Volt Stealer è stato utilizzato per rubare i token Discord dalle macchine infette insieme all’indirizzo IP dell’utente preso di mira e caricarli via HTTP.
Lofy Stealer, un nuovo sviluppo degli attaccanti, è in grado di infettare i file del client Discord e di monitorare le azioni della vittima, rilevando quando un utente effettua l’accesso, modifica i dettagli dell’email o della password, attiva o disattiva l’autenticazione a più fattori e aggiunge nuovi metodi di pagamento, compresi i dati completi della carta di credito. Le informazioni raccolte vengono anche caricate sull’endpoint remoto.
Maggiori informazioni sull’attività di ricerca di Kaspersky sulle minacce informatiche sono disponibili su SecureList.
