Cryware, il ladro di criptovalute: i dettagli e come difendersi

È stata ribattezzata cryware dal team Microsoft 365 Defender Research la minaccia emergente che prende di mira i portafogli di criptovaluta connessi a Internet.

Nel rapporto pubblicato dai ricercatori di sicurezza si legge che la campagna di attacco che ha portato al furto irreversibile di valute virtuali mediante trasferimenti fraudolenti verso wallet controllati dall’attaccante “rispecchia un marcato aumento delle minacce e degli attacchi che prendono di mira o sfruttano le criptovalute”.

Sempre secondo i ricercatori, “i cryware sono degli infostealer che raccolgono ed esfiltrano dati direttamente da portafogli di criptovaluta di tipo non-custodial, noti anche come hot wallets. Poiché gli hot wallets, a differenza dei cutodial wallets, sono archiviati localmente su un dispositivo e forniscono un accesso più facile alle chiavi crittografiche necessarie per eseguire le transazioni, vengono sempre di più presi di mira dal cyber crime”.

Il grafico che segue illustra il trend in aumento nella diffusione dei cryware nel 2021 secondo le analisi effettua mediante Microsoft Defender for Endpoint.

Attacco cryware: possibili scenari

Durante la creazione di un hot wallet, all’utente vengono forniti i seguenti dati:

1. una chiave privata necessaria per accedere all’hot wallet, firmare o autorizzare transazioni e inviare criptovalute ad altri indirizzi di criptovaluta;
2. una frase iniziale (seed phrase) ovvero una frase mnemonica per una rappresentazione leggibile della chiave privata (Bitcoin Improvement Proposal: 39 (BIP39) è attualmente lo standard più comune utilizzato per generare seed phrase composte da 12-14 parole da un elenco predefinito);
3. una chiave pubblica, ovvero l’indirizzo pubblico del portafoglio che gli utenti devono inserire come indirizzo di destinazione quando inviano fondi ad altri portafogli;
4. una password del portafoglio che alcune applicazioni wallet possono offrire come livello di protezione aggiuntivo.

In uno scenario tipico di attacco gli autori cercano di identificare ed esfiltrare questi dati sensibili dell’hot wallet (ad esempio la chiave privata o la frase iniziale) da un dispositivo target nel tentativo di creare una nuova transazione e inviare i fondi dal portafoglio mirato verso un indirizzo diverso e presidiato dagli stessi attaccanti (per trovare tali dati gli attori della minaccia potrebbero utilizzare i delle espressioni regolari “regexes” che in genere seguono uno schema di parole o caratteri predefinito).

Sfortunatamente per gli utenti, in caso di furto subito il danno risulterà irreversibile in quanto le transazioni blockchain per loro natura non possono essere modificate anche se sono effettuate senza il consenso dell’utente legittimo.

Una delle tecniche che i cryware potrebbero implementare nel tentativo di rubare i dati di portafoglio ad esempio è il “Clipping and switching”.

Durante questo approccio un cryware monitora il contenuto degli appunti di un utente e utilizza modelli di ricerca di stringhe per cercare e identificare stringhe simili a un indirizzo di hot wallet.

Qualora l’utente di destinazione incolli o usi la combinazione “CTRL + V” in una finestra dell’applicazione, il cryware provvede a sostituire l’oggetto negli appunti con l’indirizzo dell’attaccante.

“Sebbene questa tecnica non sia nuova e sia stata utilizzata in passato da ladri di informazioni, abbiamo osservato la sua crescente prevalenza. La natura invisibile della tecnica, combinata con la lunghezza e la complessità degli indirizzi dei portafogli, consente agli utenti di trascurare che l’indirizzo che hanno incollato non corrisponde a quello che hanno originariamente copiato”, evidenziano i ricercatori Berman Enconado e Laurie Kirk di Microsoft 365 Defender.

È stato comunque osservato che per estrarre dati dagli hot wallet come chiavi private, frasi seed e indirizzi, consentendo così all’autore della minaccia di avviare transazioni non autorizzate e dirottare i fondi, possono essere impiegate anche altre tecniche come:

1. il dumping della memoria per visualizzare le chiavi private in chiaro (quando una chiave privata è stata esportata tramite un’applicazione di portafoglio Web, rimane disponibile in chiaro nella memoria del processo mentre il browser è in esecuzione);
2. il keylogging per acquisire le sequenze di tasti immesse da una vittima;
3. la realizzazione di siti Web di phishing e app false per indurre gli utenti a inserire le proprie chiavi private.

Possibili soluzioni di mitigazione

Microsoft ha affermato che il cryware ha segnato “un cambiamento nell’uso delle criptovalute negli attacchi: non più come mezzo per raggiungere un fine, ma come fine stesso”.

Alla luce di questo, oltre a raccomandare agli utenti e alle organizzazioni “di disporre di una soluzione di sicurezza che fornisca più livelli di tecnologia di protezione dinamica, inclusa la protezione basata sull’apprendimento automatico”, per mitigare tali minacce Microsoft stessa consiglia di adottare le seguenti misure di difesa minime:

1. bloccare gli hot wallet quando non si fa trading;
2. disconnettere i siti collegati al wallet;
3. evitare di archiviare chiavi private in chiaro;
4. verificare il valore dell’indirizzo del wallet quando si copiano e incollano le informazioni;
5. verificare che le sessioni del browser vengano terminate dopo ogni transazione;
6. adottare dove possibile l’utilizzo di portafogli che implementino l’autenticazione MFA;
7. fare attenzione ai link dei siti Web e alle applicazioni del portafoglio impiegati;
8. controllare sempre le transazioni e il contratto wallet da approvare;
9. non condividere mai chiavi private o frasi seed;
10. utilizzare un portafoglio hardware a meno che non sia necessario connettersi attivamente a un determinato dispositivo (i portafogli hardware memorizzano le chiavi private offline);
11. prestare sempre attenzione alle estensioni dei file scaricati e salvati.