Malware ruba criptovalute agli utenti tramite estensione browser

Nel corso degli ultimi giorni è stata individuata una nuova e pericolosa compagna malware attuata attraverso il downloader Satacom. Questo, noto anche come LegionLoader, viene utilizzato per distribuire un’estensione browser in grado di rubare criptovalute alle vittime.

Il malware viene distribuito attraverso siti di terze parti, a volte sfruttando plug-in pubblicitari legittimi a cui vengono abbinati siti Web costruiti appositamente per la diffusione.

Stando a quanto riportato da Kaspersky, l’obiettivo principale del malware rilasciato dal downloader di Satacom è rubare Bitcoin dagli account delle vittime. Il tutto avviene attraverso un’estensione basata su Chromium che permette all’agente malevolo di comunicare con un server di comando e controllo.

L’estensione malevola utilizza codice JavaScript per manipolare il browser, andando anche ad influire sui più comuni servizi di posta elettronica (come Gmail, Hotmail e Yahoo), sempre mantenendo nascoste le sue attività.

Come agisce Satacom per rubare i tuoi Bitcoin?

Il primo grado di infezione si verifica quando l’utente scarica un file ZIP, contenente un file, spesso identificato in Setup.exe.

Il malware si diffonde attraverso diverse tipologie di siti Web, alcuni dei quali presentano collegamenti di download codificati. In altri casi, gli stessi agiscono attraverso un semplice pulsante “Download” ingannevole, utilizzando plug-in pubblicitari legittimi.

Una volta eseguito, il malware impiega tecniche note come process injection per eludere il rilevamento da parte di buona parte dei software antivirus. Gli esperti di sicurezza hanno affermato che la natura dinamica di questa campagna di malware pone una sfida seria al rilevamento delle suite di sicurezza.

Sempre attraverso gli studi di Kaspersky, questo tipo di minaccia non ha confini precisi entro cui è attiva. Durante il primo trimeste del 2023 sono stati registrati casi in Asia (Vietnam e Indonesia), ma anche in Centro-Sud America (Messico e Brasile) così come in Africa (Egitto e Algeria).

Gli esperti, dunque, consigliano di prestare grande attenzione quando si tratta di effettuare il download del software: verificare che la fonte sia attendibile, risulta una priorità assoluta. Adottare un antivirus di qualità, nonché aggiornato, è il secondo passo verso una difesa efficace.