Arriva la cavalleria... ma le vittime sono numerose

Il cripto-ladro è nella stampante e ruba un milione di dollari.



[ZEUS News - www.zeusnews.it - 25-06-2025]

bitcoin
Il resoconto delle transazioni sull'indirizzo bitcoin usato dai criminali

Questo è un articolo su più pagine: ti invitiamo a leggere la pagina iniziale
Il cripto-ladro è nella stampante e ruba un milione di dollari

La cavalleria informatica arriva sotto forma di Karsten Hahn, capo ricercatore del malware presso la società di sicurezza informatica tedesca G Data Cyberdefense, che esamina il software di gestione della stampante messo a disposizione via Internet dal fabbricante e conferma che i file sono infetti con due virus differenti, nonostante le smentite dell'assistenza tecnica dell'azienda.

Hahn scarica il software su un computer isolato e sacrificabile, una cosiddetta sandbox, e identifica i virus in questione. Il primo è soprannominato XRed, esiste almeno dal 2019 ed è un virus di tipo backdoor, che registra insomma quello che viene digitato dall'utente, consente all'aggressore di farsi mandare file dal computer della vittima e di catturare immagini di quello che ha sullo schermo, offre una funzione di comando remoto e può elencare il contenuto di cartelle o interi dischi e cancellare qualunque file. Chiunque scarichi il software di questa stampante dal sito del suo fabbricante lo deve eseguire per poter stampare, ma eseguendolo autorizza e fa partire automaticamente anche il virus che è annidato al suo interno.

Il secondo virus è di un altro tipo: è un coinstealer o clipbanker, ossia un malware che tiene d'occhio la clipboard, cioè la memoria temporanea nella quale il computer tiene i dati quando si fa un copia e incolla, e aspetta che al suo interno compaia qualche sequenza di caratteri che somiglia a un indirizzo bitcoin. Quando la trova, la sostituisce con un altro indirizzo bitcoin. Questo malware ha la particolarità di infettare i file eseguibili di Windows ed è una variante nuova, che il ricercatore battezza SnipVex.

Spunti di approfondimento:
Apocalisse Bitcoin
Attacchi hacker più veloci grazie all'IA
35 anni fa il primo ransomware della storia
Attenzione ai "servizi di recupero criptovalute"

Ben trentanove dei file scaricabili forniti dal fabbricante della stampante sono infetti con questo o altri virus che hanno approfittato della situazione: è una cosiddetta sovrainfezione, che oltretutto va avanti da mesi indisturbata. Hahn rileva infatti che qualunque cliente della Procolored che abbia scaricato il software di gestione da ottobre del 2024 in poi ha ricevuto una versione infetta.

A questo punto dell'analisi il movente degli aggressori diventa chiaro: rubare criptovalute ai possessori di stampanti di questa marca. La loro tecnica consiste nell'infettare il software di gestione della stampante direttamente sul sito dove viene fornito dal fabbricante, perché la stragrande maggioranza degli utenti si fiderà di questa fonte rassicurante e ignorerà gli avvisi dell'antivirus, spianando la strada all'infezione del proprio computer.

Il malware a questo punto si metterà in attesa che l'utente faccia una transazione in bitcoin su quel computer infetto, la intercetterà e sostituirà le coordinate originali con quelle di un indirizzo bitcoin gestito dai criminali. In questo modo la vittima manderà soldi ai malviventi ogni volta che farà un pagamento in criptovalute.

Consigliamo la lettura di:
Come "hackerare" un universo
La verità sul ''massiccio attacco hacker'' di cui tutti par...
Disorganizzazione informatica fa desistere i cybercriminali
Di chi sono i tuoi dati quando muori?

Potreste pensare che sia improbabile che un computer al quale è collegata una stampante speciale per stoffe venga usato anche per fare transazioni in criptovalute, ma in realtà è proprio chi può permettersi una stampante che costa svariate migliaia di dollari che ha più probabilità di avere liquidità e quindi di operare anche nelle criptovalute. E ai criminali per avere successo basta che ci sia anche una sola persona o azienda in questa situazione che si fa infettare. Il fatto che per derubare quella singola vittima infettino centinaia o migliaia di altri utenti che non fanno movimenti in criptovalute per loro non è un problema. Sono criminali: per definizione non vanno per il sottile e non si fanno scrupoli morali.

E infatti Karsten Hahn, il ricercatore di sicurezza tedesco, trova nel malware l'indirizzo bitcoin sul quale confluiscono i soldi sottratti alle varie vittime. Usando il sito Blockchain.com e il fatto che le transazioni in bitcoin sono per definizione pubbliche e consultabili, rivela che su quell'indirizzo sono arrivati 9,3 bitcoin, provenienti da circa 160 vittime. Al cambio attuale, il maltolto ammonta in totale a poco più di un milione di dollari.

La tecnica dei criminali, insomma, ha funzionato. Resta solo una domanda: come hanno fatto i criminali a infettare il fabbricante.

Articoli suggeriti:
Come perdere 200 milioni di dollari in criptovalute
Tracciare i Bitcoin
L'Università che è riuscita a trarre profitto dal ransomware che l...
Due parole sull’attacco informatico “terroristico” alla Region...

Ti invitiamo a leggere la pagina successiva di questo articolo:
Se l'antivirus vi avvisa di un pericolo, è il caso di fidarvi

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
 

Paolo Attivissimo

Paolo Attivissimo

(C) by Paolo Attivissimo - www.attivissimo.net.
Distribuzione libera, purché sia inclusa la presente dicitura.

Approfondimenti
La seduttrice informatica assetata di bitcoin
Colpevoli di ransomware
Bitcoin e oro
4 italiani su 10 pagano i riscatti del ransomware
Bitcoin, un dilemma etico
Come perdere mezzo miliardo: non serve smarrire la password del wallet Bitcoin
236 milioni di euro in bitcoin sono sepolti in una discarica in Galles
Chi ha spostato un miliardo di dollari in bitcoin?
Il virus del programmatore

Commenti all'articolo (ultimi 5 di 11)

ferik
La cosa bella di leggersi un articolo sulla sicurezza informatica è ritrovarsi tra un paragrafo e l'altro dei banner pubblicitari che rimandano a siti truffa per la rivendita a prezzi scontatissimi di utensili per il fai da te. Per la serie che vuoi evitare il pacco e ti becchi il contropacco.
26-6-2025 06:29

Gladiator
Anche questo è possibile, se ci saranno sviluppi forse lo sapremo.
2-6-2025 18:46

Homer S.
Dimentichi la regola d'oro del truffatore: quando il colpo si materializza, tu sei già altrove... Per quanto ne sappiamo la società può essere alla frutta da tempo, se non addirittura nata proprio come specchietto per le allodole (qui direi più beccaccini, visto come li hanno impallinati...).
2-6-2025 18:32

Gladiator
In effetti lo avevo pensato anch'io ma ci sono due aspetti che mi fanno venire il dubbio. Se vendi stampanti da 6.000 $, ora non so quante ne vendi, ma sabotare il tuo business per questo mi sembra poco furbo soprattutto in un paese in cui, e qui veniamo al secondo aspetto, se ti beccano con le mani nella marmellata non ti mandano in... Leggi tutto
2-6-2025 18:30
Leggi gli altri 6 commenti nel forum Sicurezza
Inserisci un commento - anche se NON sei registrato

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Qual è il tuo linguaggio di programmazione preferito, tra questi?
PHP
Java
C#
VB.Net

Mostra i risultati (1414 voti)
Luglio 2025
n. 3965 del 17-07-2025
Compensi per copia privata, la SIAE alza le tariffe. E vuole tassare anche il cloud
n. 3964 del 15-07-2025
ChatGPT in imbarazzo: con un semplice trucco genera chiavi attivazione Windows
n. 3963 del 12-07-2025
La IA di Google "fa calare il traffico" ai siti web: parte la denuncia alla Commissione Europea
n. 3962 del 10-07-2025
Il frigorifero di Samsung che fa a meno del gas: sfrutta l'effetto Peltier
n. 3961 del 09-07-2025
Il pericolo delle eSIM
n. 3960 del 07-07-2025
SPID, l'addio è ufficiale: il governo punta su CIE e IT Wallet
n. 3959 del 04-07-2025
Bollette gonfiate, le strategie illecite. Scandalo energetico in Italia
n. 3958 del 03-07-2025
Eliza colpisce ancora
n. 3957 del 01-07-2025
Fuga da Windows: in tre anni ha perso 400 milioni di utenti. Preferiti Android, Mac e Linux
Giugno 2025
n. 3956 del 28-06-2025
Windows 10, aggiornamenti gratuiti per tutti. Ma ci sono requisiti da rispettare
n. 3955 del 26-06-2025
Addio, vecchia carta d'identità: è obbligatorio passare alla CIE entro agosto 2026
n. 3954 del 24-06-2025
16 miliardi di nomi utente e password finiscono online: coinvolti anche Facebook, Google e Apple
n. 3953 del 23-06-2025
Tracciamento delle notifiche: ultima frontiera
n. 3952 del 20-06-2025
Amazon stringe sui resi: la finestra scende da 30 a 14 giorni
n. 3951 del 19-06-2025
Passare a Windows 11 è più semplice con Windows Migration. La fine di Windows 10 è già arrivata
Tutti gli Arretrati
Vecchi articoli
Accadde oggi - 17 luglio
2024
Kaspersky lascia gli Stati Uniti
2023
LiFi, il WiFi fatto con la luce
2022
TOR Browser 11.5 aggira automaticamente la censura
2021
La seduttrice informatica assetata di bitcoin
2020
Microsoft licenzia: i redattori di Msn sostituiti da un algoritmo
2019
L'iPhone di una bambina si surriscalda ed esplode
2018
Sextortion, il ricatto a sfondo sessuale che usa le vere password degli utenti
2017
Addio, Windows Phone 8.1
2016
Serbatoi di inchiostro esterni, si risparmia davvero?
2015
David Guetta: ''La pirateria mi fa guadagnare''
2014
BeppeGrillo.it e i macachi di Modena
2013
Vacanze estive, il Vademecum per l'amministratore di rete
2012
Barilla diventa americana, micotossine nella sua pasta?
2011
Foto della patente con scolapasta in testa per motivi religiosi
2010
Carta batte digitale 2 a 0
2009
Accordo tra Comdata e sindacati per l'occupazione
2008
Google Earth... olografico!
2007
Il frigorifero Usb per l'estate
2006
Il giorno di Firefox
2004
Superpippa, il monopolio e la censura
2003
Pc DEX di Computer Discount
2002
Elegante e ricercato
2001
Il business dei servizi telefonici d'informazione
Olimpo Informatico


 
web metrics