Kaspersky svela nuovi malware che prendono di mira il settore finanziario e delle criptovalute

Gli esperti di Kaspersky hanno individuato tre nuovi malware, Zanubis, AsymCrypt e Lumma, che costituiscono una minaccia per il settore finanziario e delle criptovalute. La scoperta di queste nuove minacce sottolinea l'importanza di rafforzare la sicurezza digitale.

Zanubis: un trojan bancario che si nasconde sotto le sembianze di applicazioni legittime

Zanubis è un trojan bancario per dispositivi Android che è comparso ad agosto 2022. Questo malware prende di mira gli operatori del settore finanziario e delle criptovalute in Perù e riesce a ingannare gli utenti assumendo l'aspetto di applicazioni legittime. Attraverso ingegneria sociale, convince gli utenti a concedere l'autorizzazione di accesso al dispositivo, prendendo così il controllo completo. A seguito di un'evoluzione avvenuta ad aprile 2023, Zanubis si è finto l'applicazione ufficiale dell'organizzazione governativa peruviana SUNAT (Superintendencia Nacional de Aduanas y de Administración Tributaria), dimostrando una maggiore complessità nell'inganno. Questo trojan utilizza anche Obfuscapk, un noto strumento di offuscamento per file APK di Android, per nascondere la propria presenza e accedere al dispositivo degli utenti tramite la funzione WebView, mostrando un sito web legittimo.

AsymCrypt: uno strumento per colpire i crypto wallet

AsymCrypt è un cryptor/loader che si rivolge ai crypto wallet ed è venduto sui forum clandestini. Questo malware è l'evoluzione di un loader noto come www.sisecam.com.tr, che funge da copertura per un servizio di rete TOR. Gli acquirenti personalizzano i metodi di iniezione, i processi di destinazione, la durata dell'avvio e i tipi di stub per le DLL malevoli, nascondendo il payload all'interno di un'immagine .png crittografata all'interno di un sito di hosting delle immagini. Quando viene eseguita, l'immagine viene decriptata e attiva il payload in memoria.

Lumma: uno stealer di file in continua evoluzione

Lumma è una famiglia di malware in continua evoluzione, precedentemente conosciuta come Arkeie. Questo malware si presenta come un convertitore di file da .docx a .pdf e, una volta installato illecitamente, attiva un payload malevolo quando vengono caricati file con una doppia estensione .pdf.exe. Nel corso del tempo, Lumma ha continuato a svilupparsi e ad acquisire nuove funzionalità, mantenendo una serie di caratteristiche principali come il furto dei file memorizzati nella cache, dei file di configurazione e dei log dai crypto wallet. Lumma può agire come un plugin del browser ma supporta anche l'applicazione Binance. Le nuove versioni del malware sono in grado di acquisire gli elenchi dei processi di sistema, modificare gli URL di comunicazione e migliorare le tecniche di crittografia utilizzate.