Le minacce informatiche a carattere finanziario continuano ad aumentare.
In particolare, sono tre le nuove minacce capaci di rubare dati e denaro identificate da Kaspersky: lo stealer GoPIX, che prende di mira i sistemi di pagamento PIX, lo stealer multifunzionale Lumar e il ransomware Rhysida.
Secondo l’ultimo report sul crimeware di Kaspersky la prima minaccia, GoPIX, è una campagna malevola attiva da dicembre 2022 che si focalizza sul sistema di pagamento PIX, ampiamente utilizzato in Brasile.
La campagna ha inizio quando gli utenti cercano WhatsApp web su internet e vengono reindirizzati attraverso annunci ingannevoli.
Grazie al tool anti-frode IP Quality Score, che permette di distinguere gli utenti reali dai bot, GoPIX offre due opzioni di download a seconda dello standard della porta 27275, collegata al software Avast Safe Banking.
Lumar, un nuovo stealer multifunzione
Gli utenti, quindi, ‘scaricano’ un malware progettato per rubare e manipolare i dati delle transazioni, che permette di eseguire diverse operazioni e rispondere ai comandi di un server command-and-control (C2).
Lumar, invece, è un nuovo stealer multifunzione apparso a luglio 2023 grazie a un utente chiamato Collector.
Lumar vanta funzionalità impressionanti, tra cui la cattura di sessioni di Telegram, la raccolta di password, cookie, dati di autofill, il recupero di file dal desktop degli utenti e l’estrazione di dati da vari portafogli criptati.
Le dimensioni ridotte di Lumar, dovute alla codifica C, non ne compromettono la funzionalità. Una volta eseguito, Lumar raccoglie le informazioni di sistema e i dati dell’utente e li invia al C2.
L’efficiente raccolta dei dati è facilitata dall’uso di tre fili separati. Il C2, gestito dall’autore del malware come Malware-as-a-Service (MaaS), offre semplici funzionalità come statistiche e registri di dati. Gli utenti possono scaricare l’ultima versione di Lumar e ricevere notifiche su Telegram con i dati in arrivo.
Rhysida, nuovo arrivato della scena ransomware
Rilevato a maggio attraverso la telemetria di Kaspersky, Rhysida opera come Ransomware-as-a-Service (RaaS).
Rhysida si contraddistingue per il suo esclusivo meccanismo di autocancellazione e la compatibilità con le versioni precedenti a Windows 10 di Microsoft.
Scritto in C++ e compilato con MinGW e librerie condivise, Rhysida mostra una progettazione sofisticata.
Pur essendo relativamente nuovo, ha affrontato problemi iniziali di configurazione con il suo server onion, dimostrando un rapido adattamento e apprendimento del gruppo.
Difendersi con una robusta strategia di cybersecurity
“Con l’aumento delle minacce informatiche di natura finanziaria, il nostro impegno per la protezione degli ecosistemi digitali rimane costante – dichiara Jornt van der Wiel, Senior Security Researcher del GReAT di Kaspersky -. Seguiamo da vicino l’evoluzione del panorama delle minacce, sviluppando soluzioni di sicurezza per contrastare proattivamente gli attacchi. Per garantire la sicurezza, consigliamo l’adozione di una robusta strategia di cybersecurity, che mitighi le minacce in modo efficace”.