Kaspersky scopre Zanubis, AsymCrypt e Lumma, le nuove minacce al settore finanziario e delle criptovalute

Nel mondo in continua evoluzione delle minacce informatiche, gli esperti di sicurezza di Kaspersky hanno rivelato tre nuove minacce di risonanza: Zanubis, AsymCrypt e Lumma. Questi malware rappresentano una seria minaccia per il settore finanziario e delle criptovalute, mettendo a rischio la sicurezza delle organizzazioni e degli utenti. In questo articolo, esamineremo in dettaglio ogni malware e le relative implicazioni per la sicurezza digitale.

Zanubis, il trojan bancario camaleonte

Uno dei malware più preoccupanti emersi recentemente è Zanubis, un trojan bancario basato su Android che ha fatto la sua comparsa ad agosto 2022. Questo malware prende di mira gli operatori nel settore finanziario e delle criptovalute in Perù, facendo leva su una tattica ingegnosa. Si camuffa da applicazioni Android peruviane legittime, inducendo gli utenti a concedere le autorizzazioni di accesso, consentendo così ai criminali informatici di prendere il controllo del dispositivo.

Ciò che rende Zanubis ancora più pericoloso è la sua capacità di evolversi. Nel mese di aprile 2023, è emerso che il malware si è spacciato per l’applicazione ufficiale dell’organizzazione governativa peruviana SUNAT (Superintendencia Nacional de Aduanas y de Administración Tributaria), dimostrando una maggiore complessità. Per nascondere la sua presenza, è stato utilizzato Obfuscapk, un noto software di offuscamento per file Android APK.

Una volta ottenuta l’autorizzazione ad accedere al dispositivo, Zanubis inganna la vittima caricando il sito web ufficiale di SUNAT attraverso una funzione WebView, rendendolo apparentemente legittimo. La comunicazione con il server di controllo avviene tramite l’utilizzo di WebSockets e di una libreria chiamata Socket.IO, consentendo al malware di rimanere connesso, anche in caso di problemi. A differenza di altri malware, Zanubis non ha una lista specifica di applicazioni da colpire, ma può essere programmato da remoto per rubare dati quando sono in esecuzione applicazioni specifiche. Questo malware può anche creare una seconda connessione, che potrebbe dare ai criminali il pieno controllo del dispositivo.

AsymCrypt, il loader dei crypto wallets

Un’altra minaccia significativa è AsymCrypt, un cryptor/loader che prende di mira i crypto wallet ed è venduto nei forum clandestini. Questo malware rappresenta un’evoluzione del loader DoubleFinger ed è noto per funzionare come una “facciata” per un servizio di rete TOR. Gli acquirenti possono personalizzare i metodi di injection, i processi di destinazione, la durata dell’avvio e i tipi di stub per le DLL malevole, nascondendo il payload all’interno di un’immagine .png crittografata su un sito di hosting di immagini. Quando l’immagine viene eseguita, il payload viene attivato nella memoria del dispositivo.

Lumma, la famiglia di malware in evoluzione

L’ultima minaccia, ma non meno pericolosa, è Lumma, una famiglia di malware in continua evoluzione. Inizialmente conosciuta come Arkeie, Lumma ha conservato gran parte delle sue caratteristiche originali. Si maschera da convertitore di file da .docx a .pdf e il suo metodo di installazione illecita avviene quando vengono caricati file con una doppia estensione .pdf.exe.

Nel corso del tempo, Lumma ha dimostrato la sua versatilità, supportando l’applicazione indipendente Binance e acquisendo nuove capacità, come la possibilità di acquisire gli elenchi dei processi di sistema, modificare gli URL di comunicazione e perfezionare le tecniche di crittografia.

Le dichiarazioni di GReAT – Kaspersky

“I criminali informatici sono inarrestabili nella loro ricerca di guadagno: si avventurano nel mondo delle criptovalute e addirittura si spacciano per istituzioni governative pur di raggiungere i propri obiettivi. Il panorama in continua evoluzione del malware, esemplificato dal versatile stealer Lumma e dalle ambizioni di Zanubis di diventare un vero e proprio trojan bancario, sottolinea la natura dinamica di queste minacce. L’adattamento a questa costante trasformazione dei codici maligni e delle tattiche dei criminali informatici rappresenta una sfida continua per i team di difesa. Per proteggersi da questi pericoli, le aziende devono essere vigili e ben informate. I report di Intelligence sono fondamentali per tenersi aggiornati sui più recenti strumenti malevoli e sulle tecniche di attacco, permettendoci di essere sempre un passo avanti nella battaglia per la sicurezza digitale”, ha dichiarato Tatyana Shishkova, Lead Security Researcher di GReAT (Global Research & Analysis Team).

Qui il report completo

I consigli di Kaspersky per prevenire minacce finanziarie

Per proteggere se stessi e le proprie risorse finanziarie da queste minacce, Kaspersky consiglia i seguenti passi:

1. Impostare backup offline: Creare backup offline che non possano essere manomessi da intrusi e assicurarsi di potervi accedere rapidamente in caso di emergenza;
2. Installare protezione ransomware: Utilizzare Kaspersky Anti-Ransomware Tool for Business o una soluzione simile per proteggere computer e server da ransomware e altri tipi di malware;
3. Utilizzare una soluzione di sicurezza dedicata: Per ridurre al minimo le probabilità che vengano lanciati crypto-miner, utilizzare una soluzione di sicurezza dedicata come Kaspersky Endpoint Security for Business con controllo delle applicazioni e del web. L’analisi del comportamento aiuta a rilevare rapidamente le attività dannose, mentre il vulnerability and patch manager protegge dai crypto-miner che sfruttano le vulnerabilità.

La sicurezza digitale è una sfida in continua evoluzione, e la vigilanza e l’informazione sono le chiavi per proteggere i dati e gli asset finanziari da queste minacce sempre crescenti.

Continua a leggere le notizie di Diario Innovazione e segui la nostra pagina Facebook