Truffa Bitcoin: dietro l'offerta gratis si nasconde un virus
Una nuova truffa minaccia gli utenti che fanno trading di criptovalute. Degli hacker hanno realizzato un trojan che ruba loro soldi: ecco come
Chi fa transazioni in Bitcoin dovrebbe stare molto attento: è stato infatti scoperto un pericoloso virus per PC e Mac in grado di svuotarci il portafogli virtuale di criptovalute. Il virus si nasconde dietro la finta piattaforma di trading chiamata JMT Trader.
Scoperto da MalwareHunterTeam, questo virus ha una strategia di diffusione estremamente raffinata: l’utente viene attratto dalla promessa di poter usare la piattaforma gratuita JMT Trader, alla quale corrisponde un sito Web realizzato con cura e dall’aspetto professionale e, persino, un account Twitter ufficiale. Quando si scarica il software per fare trading, però, già durante l’installazione avviene l’infezione: nel PC o nel Mac della vittima viene installato un trojan. Purtroppo, circa la metà degli antivirus non è in grado di individuare e rimuovere questo trojan dai dispositivi infetti.
Come funziona JMT Trader
Dal sito Web di JMT Trader l’utente viene invitato a scaricare il software per accedere alla piattaforma di trading. Questo software si trova ospitato su GitHub ed è disponibile per Windows, macOS e Linux. Il software è apparentemente pulito: viene distribuito anche il codice sorgente e non ci sono virus al suo interno, anche perché non è altro che una versione leggermente modificata di QT Bitcoin Trader, un software di trading assolutamente legittimo.
Quando lo installiamo, però, viene creata una cartella all’interno della quale viene depositata l’applicazione CrashReporter.exe. Ufficialmente è un modulo del programma principale, che serve per segnalare gli errori e i crash dell’app allo sviluppatore, ma in realtà nasconde il trojan.
CrashReporter si attiva automaticamente ogni volta che l’utente fa il login sul dispositivo, subito dopo si collega con il server di comando e controllo degli hacker dal quale riceve i comandi pericolosi. Al momento sembrerebbe che il trojan si limiti a rubare eventuali criptovalute dell’utente.
Possibili connessioni con Lazarus
Dall’analisi del codice e del comportamento di CrashReporter.exe sembrerebbero esserci alcune similitudini con il trojan AppleJeus, che fa parte della minaccia permanente chiamata Lazarus, scoperta l’anno scorso da Kaspersky Lab. Lazarus è una famiglia di virus sviluppati in Corea del Nord, che prendono di mira i wallet in criptovalute.
Come difendersi da JMT
Purtroppo, al momento solo una trentina di motori di antivirus (su oltre sessanta) riescono ad individuare il virus JMT durante le scansioni. Ciò vuol dire che è molto difficile che l’infezione venga fermata già al momento dell’installazione del software che lo veicola. Per questo l’unico modo per difendersi è la cautela: ci potrebbero essere altri programmi di trading su Internet che contengono questo tipo di virus.
