18 ottobre 2018

Gli analisti Doctor Web hanno studiato l'attività di un criminale informatico che si occupa di frodi nel mercato delle criptovalute. Il business criminale del malintenzionato, che è nascosto sotto lo pseudonimo di Investimer, si distingue per una vasta gamma di software malevoli utilizzati e per una ricca serie di metodi di guadagni illegali.

Il cyber-truffatore, conosciuto su Internet con i nomi fittizi Investimer, Hyipblock e Mmpower, utilizza nella sua attività la più vasta gamma di trojan commerciali attualmente disponibili sul mercato clandestino. Tra cui gli stealer Eredel, AZORult, Kpot, Kratos, N0F1L3, ACRUX, Predator The Thief, Arkei, Pony. Inoltre, nell'arsenale del malfattore si osservano il backdoor Spy-Agent basato sull'applicazione TeamViewer, i backdoor DarkVNC e HVNC progettati per l'accesso a un computer infetto tramite il protocollo VNC, nonché un altro backdoor basato sul software RMS. Il cyber-criminale impiega attivamente il downloader Smoke Loader, e in precedenza utilizzava Loader by Danij e anche un trojan miner di criptovalute che ha un modulo incorporato progettato per la sostituzione non autorizzata del contenuto degli appunti (clipper). Investimer colloca i server di gestione con l'interfaccia amministrativa sui siti come jino.ru, marosnet.ru e hostlife.net, la maggior parte di essi funziona sotto la protezione del servizio Cloudflare al fine di nascondere il vero indirizzo IP di queste risorse di rete.

Investimer è specializzato in frodi di criptovalute, principalmente Dogecoin. Per realizzare le sue idee, lui ha creato numerosi siti di phishing che copiano risorse Internet reali. Uno di essi è un falso trading di criptovalute per utilizzare il quale sarebbe richiesto un programma client specifico. Sotto le mentite spoglie della simile applicazione, sul computer della vittima viene scaricato il trojan Spy-Agent.

Un'altra "startup" dello stesso cyber-truffatore è un falso pool di dispositivi per il mining della criptovaluta Dogecoin il quale sarebbe dato in affitto a prezzi molto vantaggiosi. Per utilizzare questo pool inesistente nella realtà, anche sarebbe richiesta un'applicazione client specifica che viene scaricata sul computer della potenziale vittima in un archivio protetto da password. La presenza di una password non consente ai programmi antivirus di analizzare il contenuto dell'archivio e di eliminarlo già nella fase di download. All'interno, come è facile intuire, è nascosto un trojan stealer.

Un'altra risorsa fraudolenta creata da Investimer è dedicata alla criptovaluta Etherium. Il truffatore offre alle potenziali vittime una ricompensa per la visualizzazione di siti su Internet suggerendo l'installazione di un'applicazione specifica, la quale anche è un programma malevolo. In questo caso un trojan inizia a caricarsi automaticamente all'accesso di un visitatore sul sito. Il criminale informatico ha persino predisposto alcune false recensioni sul funzionamento di questo servizio.

Un altro metodo di frode online, che viene praticato da Investimer, è l'organizzazione di lotterie online, il cui premio è una certa quantità di criptovaluta Dogecoin. Naturalmente, le lotterie sono organizzate in modo tale che la vincita sia impossibile per un partecipante esterno e solo l'organizzatore stesso possa guadagnare. Ciononostante, al momento della scrittura di questo articolo oltre 5.800 utenti risultano registrati sul sito della lotteria organizzata da Investimer.

Oltre alle lotterie, su uno dei suoi siti Investimer offre una ricompensa in Dogecoin per la visualizzazione di pagine web contenenti annunci pubblicitari. Questo progetto ha più di 11.000 utenti registrati.

Ovviamente, dal sito "partner" sul computer del partecipante al sistema viene immediatamente scaricato un backdoor sotto le mentite spoglie di un plugin del browser che consenta di guadagnare con la navigazione su Internet. Quindi il backdoor di solito installa un trojan stealer sul dispositivo infetto.

Investimer non disdegna il phishing tradizionale. Un sito web creato da lui offrirebbe una ricompensa per attirare nuovi utenti nel sistema di pagamento Etherium, ma in realtà raccoglie le informazioni che vengono inserite dagli utenti durante la registrazione e le trasferisce al malintenzionato.

Oltre ai metodi di guadagni criminali sopra elencati, Investimer ha provato a copiare il sito ufficiale cryptobrowser.site. I creatori del progetto originale hanno sviluppato un browser speciale che estrae criptovaluta in background durante la visualizzazione di pagine web. Quello di Investimer non è un sito ben fatto: alcuni elementi grafici sul sito non vengono visualizzati, nel testo del contratto di licenza è riportato l'indirizzo email dei veri sviluppatori, mentre il trojan, che la vittima riceve con il pretesto del browser, viene scaricato da una risorsa situata su un altro dominio. La seguente illustrazione mostra il falso sito creato da Investimer (a sinistra) confrontato con quello originale (a destra).

Investimer implementa anche altri schemi di frode sulla rete – in particolare, giochi online basati sul principio di piramide finanziaria. Il malfattore utilizza le informazioni raccolte mediante i trojan stealer principalmente per il furto della criptovaluta e del denaro che le sue vittime conservano nei portafogli di vari sistemi di pagamenti elettronici. Osserviamo tra parentesi che nel pannello amministrativo, attraverso cui Investimer controlla l'accesso ai computer hackerati, lui munisce ciascun record della vittima di commenti volgari che non possiamo citare per motivi di censura.

In generale, lo schema utilizzato dal criminale informatico per ingannare gli utenti di Internet è il seguente. La potenziale vittima viene attirata con vari metodi su un sito fraudolento per il cui utilizzo sarebbe necessario scaricare un determinato programma client. Sotto le mentite spoglie del simile client la vittima dell'inganno scarica un trojan il quale su comando del malfattore installa sul computer altri programmi malevoli. Questi programmi (principalmente trojan stealer) rubano dal dispositivo infetto informazioni riservate, utilizzando le quali il truffatore poi ruba dai conti dell'utente la criptovaluta e il denaro che sono conservati in vari sistemi di pagamento.

Gli analisti Doctor Web ritengono che il numero totale di utenti colpiti dalle attività illegali di Investimer superi le 10.000 persone. Il danno causato dal malfattore alle sue vittime è stimato dai nostri esperti a oltre 23.000 dollari USA. Si aggiungono inoltre 182.000 nella criptovaluta Dogecoin, il che al tasso di cambio attuale è circa 900 dollari.

Gli indirizzi di tutti i siti web creati da Investimer sono stati aggiunti ai database di Dr.Web SpIDer Gate, tutti i programmi malevoli utilizzati da lui vengono rilevati e rimossi con successo tramite il nostro Antivirus.

Un elenco completo di indicatori di compromissione può essere trovato sul link https://github.com/DoctorWebLtd/malware-iocs/tree/master/investimer.

#criminalità #criptovalute #mining_di_criptovalute #frode