Attenti a Zaraza, il nuovo virus russo che si comanda da Telegram

La Russia si conferma ancora una volta patria del cybercrimine: un team della società di cybersicurezza Uptycs, infatti, ha scoperto che sta circolando un nuovo malware, un virus informatico chiamato “Zaraza“. Questa parola, in russo, significa “infezione” e diversi termini russi sono stati trovati all’interno del codice, lasciando adito a pochi dubbi sulla provenienza di questo virus pericolosissimo di cui, però, si sa ancora molto poco. Una delle cose già note, ad esempio, è il fatto che questo virus non ha un vero e proprio server di controllo e comando: sfrutta un bot di Telegram.

Come funziona Zaraza

Secondo Uptycs Zaraza è un nuovo malware e non contiene, al suo interno, parti di codice di altri virus già noti. Tecnicamente è uno spyware e una data stealer, cioè spia l’utente e gli ruba i dati. Lo scopo è sempre lo stesso: acquisire dati sensibili ai fini del controllo dell’utente, oppure per far soldi rubando le credenziali del conto corrente online.

Non è stata ancora trovata la fonte da cui parte l’infezione Zaraza, ma è stato scoperto che il malware è in grado di scavalcare le misure di sicurezza di oltre 30 browser Web, compresi tutti i più usati al mondo, Chrome ed Edge inclusi:

• 7Star
• Iron Browser
• Kinza
• Slimjet
• Amigo
• Citrio
• Kometa
• Sputnik
• AVAST
• CocCoc
• Liebao Browser
• Torch Browser
• AVG Browser
• Comodo Dragon
• Opera
• uCozMedia
• Brave Browser
• CoolNovo
• Opera GX
• URBrowser
• CCleaner
• Coowon
• Opera Neon
• Vivaldi
• CentBrowser
• Microsoft Edge
• Orbitum
• Yandex
• Chedot
• Elements Browser
• QIP Surf
• Chrome
• Epic Privacy Browser
• SalamWeb

Quando l’utente naviga online tramite uno qualunque di questo browser, su un dispositivo infetto, Zaraza è in grado di fare screenshot delle schermate e inviare i file, in formato jpg, agli hacker che lo controllano. Chiaramente in questi screenshot può finire di tutto: dalle credenziali della posta elettronica a quelle della banca online, ma anche l’accesso ai social e moltissime altre informazioni private dell’utente.

Inoltre, Zaraza è in grado di decifrare i file criptati dove i browser salvano le credenziali degli utenti, cosa ancor più pericolosa, perché mette a rischio le credenziali dell’utente anche quando vengono offuscate dal browser con i classici asterischi.

Zaraza si controlla da Telegram

La cosa più interessante di questo nuovo virus, secondo i ricercatori di Uptycs, è che Zaraza invece di inviare i dati rubati ad un server li invia ad un bot di Telegram. Chi controlla il malware può poi lanciare comandi al bot per scaricare i dati, o per lanciare altri attacchi tramite Zaraza.

Anche conoscendo il nome del bot usato dagli hacker, però, non è possibile prendere il controllo del malware: l’accesso è riservato a chi ha determinati permessi, che vengono concessi solo pagando per usare Zaraza con l’ormai classica formula del “MAAS“: Malware As A Service, cioè virus in affitto a canone mensile.

Come difendersi da Zaraza

Zaraza, come conferma Uptycs, è un malware recente e ancora poco noto e non si sa esattamente come venga veicolato. Ciò vuol dire che non possiamo ancora suggerire delle precauzioni specifiche su come difendersi da Zaraza. Possiamo, però, limitare i danni in caso di infezione impedendo al malware di prendere completamente possesso del nostro conto corrente online o dei nostri account social.

In entrambi i casi è necessario attivare l’autenticazione a due fattori, con il secondo fattore (tipicamente un codice OTP) che dovrà essere inviato ad un altro dispositivo. In questo modo anche se il computer A è infetto il codice viene inviato allo smartphone B che non è infetto.

Così un hacker può entrare nel nostro conto, ma non può fare bonifici.