Uptycs, azienda specializzata in sicurezza informatica, ha identificato un nuovo malware per il furto di credenziali, denominato Zaraza bot. Esso viene venduto su Telegram, noto canale di comunicazione tra cybercriminali, e utilizza il servizio di messaggistica come server di comando e controllo (C2, C&C).
Zaraza Bot: come agiscono i criminali?
Zaraza bot colpisce un’ampia gamma di browser Web e si propaga attivamente su Telegram. Dopo aver infettato il computer della vittima, il malware estrae dati sensibili e li invia a un bot Telegram controllato dall’attaccante.
Il malware è un file binario a 64 bit, scritto in C#. Come vi preannunciavamo un attimo fa, una volta infettato il sistema, estrae tutte le credenziali salvate sul computer della vittima, prendendo di mira 38 browser diversi, tra cui Chrome, Edge, Opera, AVG Browser, Brave, Vivaldi e Yandex. Zaraza bot è anche in grado di catturare screenshot dalla finestra attiva del browser.
I browser memorizzano le credenziali in due formati crittografati, ma Zaraza bot riesce a decrittografarli entrambi. Quindi, il malware ruba credenziali da servizi bancari online, portafogli di criptovalute, e-mail e altri siti web, che gli hacker possono utilizzare per scopi illeciti come furto di identità, frodi finanziarie e accesso non autorizzato ad account personali e aziendali. Uptycs riferisce che il bot viene offerto come servizio in abbonamento a criminali informatici, con accesso al bot Telegram limitato. Il team di ricerca non è riuscito a interagire con il bot.
Esaminando il traffico HTTPS, gli esperti hanno scoperto che il virus ha intercettato dati riguardanti il nickname e le informazioni dell’account di un utente russo, suggerendo un collegamento tra quest’ultimo e l’amministratore del bot o un altro cybercriminale che lo utilizza. Non è ancora chiaro però come venga distribuito Zaraza bot, ma in passato i cybercriminali hanno usato pubblicità dannose e ingegneria sociale come metodi di distribuzione. Per ridurre il rischio di attacchi, si consiglia di utilizzare l’autenticazione a due fattori (2FA) e di aggiornare software e sistemi operativi tempestivamente.