Uptycs, una società di sicurezza informatica, ha scoperto un nuovo malware per il furto di credenziali chiamato Zaraza bot, che viene venduto su Telegram e utilizza il messenger come server di comando e controllo (C2, C&C).
Il bot Zaraza prende di mira un gran numero di browser Web e si sta diffondendo attivamente sul canale Telegram, popolare tra i criminali informatici. Una volta che il malware ha infettato il computer della vittima, estrae i dati sensibili e li invia a un bot di Telegram controllato dall’aggressore.
Zaraza bot è un binario a 64 bit compilato con C#. Quando viene infettato, il malware estrae tutte le possibili credenziali memorizzate sul computer della vittima. In particolare, prende di mira 38 diversi browser Web, tra cui Google Chrome, Microsoft Edge, Opera, AVG Browser, Brave, Vivaldi e Yandex. Il malware è anche in grado di acquisire schermate dalla finestra attiva del browser.
 Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀
Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮.
Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Si noti che il browser Web memorizza le credenziali nel sistema in due formati crittografati (le nuove versioni del browser utilizzano la firma della password v80 e le versioni precedenti utilizzano la funzione DPAPI di Windows), ma Zaraza bot è in grado di decrittografare entrambi i formati.
Il bot Zaraza quindi estrae le credenziali da servizi bancari online, portafogli di criptovaluta, e-mail e altri siti web. I dati rubati possono quindi essere utilizzati dagli hacker per scopi dannosi come furto di identità, frodi finanziarie e accesso non autorizzato ad account personali e aziendali.
Secondo Uptycs, il bot Zaraza viene offerto ad altri criminali informatici come strumento commerciale in abbonamento. Va notato che l’accesso al bot di Telegram per la sottoscrizione è limitato.
Per questo motivo, il team di ricerca di Uptycs non è stato in grado di interagire con il bot.
Analizzando i pacchetti HTTPS, gli esperti hanno scoperto che il bot Zaraza ha intercettato i dati contenenti il nickname e le informazioni sull’account di un utente russo. Ciò indica che l’utente russo è associato all’amministratore del bot o a un criminale informatico che utilizza il bot Zaraza.
Al momento non è chiaro come venga distribuito il bot Zaraza, ma in passato i criminali informatici utilizzavano comunemente 2 metodi di distribuzione: pubblicità dannosa e ingegneria sociale. Per ridurre il rischio di attacchi di infostealer, gli utenti sono incoraggiati a utilizzare l’autenticazione a due fattori (2FA) e ad applicare gli aggiornamenti del software e del sistema operativo non appena disponibili.
I risultati di Uptycs arrivano dopo che il team di Microsoft Threat Intelligence ha annunciato una nuova campagna di phishing rivolta a società di contabilità e autorità fiscali utilizzando il downloader GuLoader, che installa il trojan Remcos RAT RAT, consentendo l’accesso iniziale alle reti aziendali.
Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
