venerdì 4 agosto 2017

Il ransomware Cerber ora ruba anche le password degli account e dati dai portafogli Bitcoin


L'ultima versione del ransomware Cerber (ne abbiamo parlato qui)  ha avuto un aggiornamento che gli consente di rubare informazioni dai dispositivi delle vittime, come fosse appunto un infostealer (trojan pensati appositamente per rubare informazioni come le password degli account). 

Nel dettaglio questa ultima versione di Cerber può rubare le password dai browser e perfino file riguardanti i portafogli di Bitcoin. 

La funzione infostealer di Cerber
Più precisamente Cerber può rubare le password memorizzate nei browser web come Internet
Explorer, Google Chrome e Mozilla Firefox. Oltre a ciò, Cerber cerca anche file collegati alle app per i wallet Bitcoin. Cerca e ruba file quali wallet.dat (usato dall'app ufficiale Bitcoin Core), *.wallet (usato dall app Multibit) e electum.dat (usato appunto dall'app Electrum).

Va detto che se le password estratte dal browser possono essere utili a prendere il controllo di alcuni account, i dati relativi invece ai portafogli bitcoin potrebbero non essere utili, dato che le password dei portafogli Bitcoin non sono memorizzati in nessuno dei file sopra elencati: inoltre l'app Electrum non usa più il file electrum.dat per memorizzare le info sul portafoglio almeno dal 2013.


La scelta appare quindi abbastanza insolita: probabilmente gli sviluppatori di Cerber hanno copincollato il codice necessario a inserire le funzioni furto delle informazioni da un altro progetto, senza conoscerne la reale efficienza. 

E' però fin da subito chiaro il potenziale pericolo: nel caso una delle vittime abbia davvero un portafoglio Bitcoin, il ransomware permetterebbe con queste funzioni corrette e migliorate di fare "il doppio colpo". Sono tutte modifiche finalizzate a monetizzare al massimo il ransomware ed è questo, un precedente preoccupante.

Cerber non è il primo...
Cerber non è comunque il primo ransomware con funzioni di info stealing. Il primo fu un ransomware della famiglia Kriptovor. 

Nessun commento:

Posta un commento