Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Select language
English Spanish
Cerca

il malware GoldPickaxe ruba i dati biometrici per creare Deepfake

Redazione RHC : 17 Febbraio 2024 08:45

Un nuovo trojan per iOS e Android, denominato GoldPickaxe, utilizza l’ingegneria sociale per costringere le vittime a scansionare i propri volti e documenti di identificazione. I ricercatori del Gruppo IB (Group-IB) ritengono che questi dati vengano poi utilizzati per creare deepfake e accessi non autorizzati ai conti bancari.

Si sottolinea che il malware induce le persone a rivelare i propri volti attraverso l’inganno e l’ingegneria sociale. GoldPickaxe non intercetta i dati Face ID e non sfrutta alcuna vulnerabilità nei sistemi operativi mobili.

Secondo i ricercatori, il nuovo malware fa parte dell’arsenale dannoso del gruppo di hacker cinese GoldFactory, responsabile anche della creazione di minacce come GoldDigger, GoldDiggerPlus e GoldKefu. Gli attacchi del gruppo sono solitamente diretti alla regione Asia-Pacifico (in particolare Tailandia e Vietnam).


PARTE LA PROMO ESTATE -40%

RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!

Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.

Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]



Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


È stato riferito che la distribuzione di GoldPickaxe è iniziata nell’ottobre 2023 e il malware è ancora attivo.

In genere, le vittime ricevono e-mail di phishing o messaggi di messaggistica scritti nella loro lingua madre. In essi, i truffatori fingono di essere rappresentanti di agenzie e servizi governativi, inducendo gli utenti a installare applicazioni dannose. Ad esempio, Digital Pension, ospitato su siti mascherati da Google Play Store ufficiale.

Allo stesso tempo, gli aggressori hanno chiesto agli utenti iOS (iPhone) di accedere all’URL TestFlight di Apple (una piattaforma che aiuta gli sviluppatori a distribuire versioni beta delle applicazioni per testarle su iOS), cosa che ha permesso loro di aggirare i meccanismi di sicurezza.

Quando Apple ha rimosso l’app TestFlight, gli aggressori sono passati al Mobile Device Management (MDM), che ha permesso loro di ottenere il controllo dei dispositivi dei loro obiettivi.

Dopo aver installato il Trojan su un dispositivo mobile, funziona in modo semi-autonomo, eseguendo per lo più tutte le manipolazioni in background. I ricercatori scrivono che il malware ha intercettato dati biometrici sul volto della vittima, messaggi SMS in arrivo, documenti di identificazione richiesti e traffico di rete proxy attraverso il dispositivo infetto utilizzando MicroSocks.

Sui dispositivi iOS, GoldPickaxe utilizza un canale websocket per ricevere i seguenti comandi:

  • heartbeat : controlla il ping del server;
  • init : invia le informazioni del dispositivo al server di gestione;
  • upload_idcard : richiede un’immagine di un documento di identità;
  • face: chiedi alla vittima di scattare una foto del suo viso;
  • update: visualizza un falso messaggio “dispositivo in uso” per evitare interruzioni;
  • album : sincronizzazione dei dati della libreria fotografica (trasferimento dei dati nell’archivio cloud);
  • Again_upload : riprova a inviare il video con il volto della vittima al cloud;
  • destroy: smettere di funzionare.

Allo stesso tempo, Group-IB sottolinea che la versione Android del malware esegue azioni ancora più dannose, poiché i dispositivi Apple hanno restrizioni di sicurezza più severe.

Opzioni per attacchi su dispositivi iOS

Ad esempio, su Android, GoldPickaxe può eseguire comandi per accedere agli SMS, navigare nel file system, simulare tocchi sullo schermo, rubare le ultime 100 foto della vittima da un album, scaricare e installare pacchetti aggiuntivi e inviare notifiche false. Inoltre, su Android il trojan utilizza più di 20 applicazioni false per camuffarsi.

I documenti e i dati biometrici delle vittime così ottenuti vengono utilizzati dagli operatori GoldPickaxe per creare successivamente deepfake e frodi bancarie, ritiene Group-IB. Il fatto è che l’anno scorso la polizia tailandese ha messo in guardia da tali schemi fraudolenti. Molti istituti finanziari del paese hanno iniziato a utilizzare verifiche biometriche per transazioni superiori a un determinato importo (e il Vietnam intende introdurre restrizioni simili entro aprile 2024), quando gli aggressori hanno iniziato a cercare i dati biometrici degli utenti.

“GoldFactory è un ingegnoso team di hacker criminali con molti assi nella manica: furto d’identità, keylogging di accessibilità, siti bancari falsi e avvisi bancari, schermate di chiamata false, raccolta di informazioni sull’identità delle vittime e dati di riconoscimento facciale”, scrivono i ricercatori. “La loro capacità di sviluppare e distribuire simultaneamente varianti di malware su misura per diverse regioni dimostra un allarmante livello di sofisticazione”.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

Cyberattack in Norvegia: apertura forzata della diga evidenzia la vulnerabilità dei sistemi OT/SCADA

Nel mese di aprile 2025, una valvola idraulica di una diga norvegese è stata forzatamente aperta da remoto per diverse ore, a seguito di un attacco informatico mirato. L’episodio, riportat...

Un milione di Lead Italiani del 2025 in vendita nelle underground. Per un Phishing senza domani!

Sul forum underground russo XSS è apparso un post che offre una “Collection di Lead Verificati Italia 2025” con oltre 1 milione di record. Questo tipo di inserzioni evidenzia la con...

Cyber War: la guerra invisibile nel cyberspazio che decide i conflitti del presente

Nel cuore dei conflitti contemporanei, accanto ai carri armati, ai droni e alle truppe, si combatte una guerra invisibile, silenziosa e spesso sottovalutata: la cyber war. Non è solo uno scenario...

Un Hacker divulga i dati sensibili dei politici spagnoli. Coinvolto anche il premier Pedro Sánchez

Le autorità iberiche sono impegnate in un’indagine riguardante un pirata informatico che ha divulgato informazioni sensibili relative a funzionari pubblici e figure politiche di spicco. Tr...

Arriva Skynet: il malware che Colpisce l’Intelligenza Artificiale!

Un insolito esempio di codice dannoso è stato scoperto in un ambiente informatico reale , che per la prima volta ha registrato un tentativo di attacco non ai classici meccanismi di difesa, ma dir...

Categorie
Segui i corsi di ethical hacking di CyberSecurityUP
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

PRINCIPALI CATEGORIE
Attacchi Informatici Italiani
Dark Web & Cybercrime
0day, bug e Vulnerabilità
Hacking
Cybersecurity Italia
Cyberpolitica & Intelligence

RISORSE
Academy
Rubriche
Il manifesto di Red Hot Cyber
Feed RSS
Contatti

Copyright @ REDHOTCYBER Srl
PIVA 17898011006