Trojan

Il trojan bancario Hook è un tipo di malware progettato per rubare informazioni personali agli utenti infetti. È stato sviluppato utilizzando il codice sorgente della backdoor ERMAC, un altro famigerato malware. Hook viene affittato dai suoi operatori al costo di 7,000 dollari al mese. Si rivolge a un'ampia gamma di applicazioni, in particolare quelle legate al settore bancario e alle criptovalute, ed è stato trovato negli APK cloni di Google Chrome. Il malware ha una vasta gamma di funzionalità, tra cui keylogging, attacchi overlay per visualizzare finestre di phishing sulle app bancarie e furto automatizzato di seed di recupero di criptovaluta. Ha anche la capacità di trasmettere in streaming lo schermo della vittima, interagire con l'interfaccia per ottenere il controllo completo sul dispositivo, scattare foto della vittima utilizzando la fotocamera frontale e rubare cookie relativi alle sessioni di accesso di Google.

Il mining di Bitcoin è un processo che prevede la convalida delle transazioni e il mantenimento dell'integrità della blockchain di Bitcoin. I minatori utilizzano macchinari complessi e potenza di calcolo per risolvere enigmi crittografici e il primo a risolvere un enigma viene ricompensato con Bitcoin. Questo processo è essenziale per il funzionamento della rete Bitcoin, ma è stato anche criticato per il suo impatto ambientale dovuto all’elevato consumo energetico. Tuttavia, il termine BitCoinMiner è stato anche associato a un tipo di malware, spesso indicato come RiskWare.BitCoinMiner o Trojan.BitCoinMiner. Questo malware viene utilizzato dagli autori delle minacce per dirottare le risorse computazionali dei computer infetti per estrarre criptovalute senza il consenso dell'utente. Il metodo di infezione più comune per i minatori Bitcoin non richiesti sono i bundler, ma esistono molti altri metodi di infezione in uso.

I Trojan bancario TrickMo è un sofisticato malware che prende di mira i dispositivi Android, principalmente a scopo di frode finanziaria. È stato inizialmente identificato nel settembre 2019 e da allora si è evoluto con funzionalità migliorate, inclusa la possibilità di rubare contenuto dello schermo, scaricare moduli runtime e utilizzare tecniche di overlay injection. TrickMo è una variante Android del trojan bancario TrickBot, identificato per la prima volta nel 2016. TrickBot era originariamente progettato come trojan bancario per rubare dati finanziari. Nel corso del tempo, si è evoluto in un malware multifase altamente modulare che fornisce ai suoi operatori una suite completa di strumenti per condurre una miriade di attività informatiche illegali. TrickMo è altamente adattabile e sofisticato, con diverse funzionalità. Il suo scopo principale è impegnarsi in frodi finanziarie rubando informazioni bancarie e credenziali sensibili agli utenti. Ciò include l'utilizzo di tecniche come attacchi overlay, furto di contenuti sullo schermo e altro ancora.

Trojan:O97M/DPLink.A è un tipo di malware cavallo di Troia che prende di mira i documenti di Microsoft Office. Si tratta di una pericolosa minaccia informatica che può eseguire una serie di azioni dannose sul tuo computer, tra cui il tracciamento degli utenti, la truffa di informazioni personali, la connessione a server C&C remoti e l'installazione di altro malware nel sistema. È noto per la sua capacità di eludere il rilevamento da parte dei software antivirus, poiché utilizza varie tecniche di offuscamento per nascondere il proprio codice dannoso. Rimuovere Trojan:O97M/DPLink.A può essere un processo complesso a causa della sua capacità di nascondere i file in varie posizioni sul disco e di apportare modifiche al registro, alle configurazioni di rete e ai criteri di gruppo. Pertanto, si consiglia di utilizzare uno strumento anti-malware specializzato a questo scopo. Ecco una guida passo passo per rimuovere Trojan:O97M/DPLink.A.

GoPIX è un software dannoso progettato specificamente per compromettere la piattaforma di pagamento istantaneo Pix. Questo malware funziona come un clipper, reindirizzando le transazioni condotte attraverso la piattaforma Pix. Inoltre, funziona come un clipper convenzionale, estendendo la sua portata per includere le transazioni di criptovaluta. GoPIX è in circolazione almeno da dicembre 2022. Dato che Pix è una piattaforma di pagamento istituita e supervisionata dalla Banca Centrale del Brasile (BCB), la sua base di utenti comprende prevalentemente cittadini brasiliani. Di conseguenza, le attività di GoPIX sono principalmente limitate al panorama brasiliano. Il malware GoPIX è un tipico ladro di appunti che ruba le "transazioni" Pix utilizzate per identificare le richieste di pagamento e le sostituisce con una dannosa (controllata dall'aggressore) che viene recuperata dal C2. Il malware supporta anche la sostituzione degli indirizzi dei portafogli Bitcoin ed Ethereum. Tuttavia, questi sono codificati nel malware e non vengono recuperati dal C2. GoPIX può anche ricevere comandi C2, ma questi sono relativi solo alla rimozione del malware dalla macchina.

StripedFly è una piattaforma malware multipiattaforma altamente sofisticata che ha infettato oltre un milione di sistemi Windows e Linux nell'arco di cinque anni. Inizialmente è stato erroneamente classificato come minatore di criptovaluta Monero, ma ulteriori indagini hanno rivelato la sua vera natura di malware APT (Advanced Persistent Threat). StripedFly è un framework modulare che può essere utilizzato sia per sistemi Windows che Linux. Dispone di un tunnel di rete Tor integrato per la comunicazione con il suo server di comando e controllo (C&C) e utilizza servizi affidabili come Bitbucket, GitLab e GitHub per meccanismi di aggiornamento e consegna. Il malware funziona come un eseguibile binario monolitico con moduli collegabili, conferendogli versatilità operativa spesso associata alle operazioni APT. Questi moduli includono archiviazione della configurazione, aggiornamento/disinstallazione, proxy inverso, gestore di comandi vari, raccoglitore di credenziali, attività ripetibili, modulo di ricognizione, infetto SSH, infetto SMBv1 e un modulo di mining Monero. La presenza del crypto miner Monero è considerata un tentativo di diversione, poiché gli obiettivi primari degli autori della minaccia sono il furto di dati e lo sfruttamento del sistema facilitato dagli altri moduli.

Lumar Stealer è un malware leggero di tipo stealer scritto nel linguaggio di programmazione C. È progettato per rubare informazioni come cookie Internet, password memorizzate e portafogli di criptovaluta. Lumar è stato notato per la prima volta promosso sui forum degli hacker nel luglio del 2023. Il malware si infiltra nei sistemi e inizia a raccogliere dati rilevanti sul dispositivo come nome del dispositivo, CPU, RAM e layout della tastiera. Si rivolge principalmente alle informazioni memorizzate sui browser, estraendo cookie Internet e credenziali di accesso (nomi utente, ID, indirizzi e-mail, password, passphrase, ecc.). Prende di mira anche le sessioni di Telegram Messenger e raccoglie informazioni relative ai portafogli di criptovaluta. Lumar ha funzionalità di cattura, il che significa che può scaricare file dai desktop delle vittime. I formati di interesse includono DOC, TXT, XLS, RDP e JPG. Se sospetti che il tuo computer sia infetto da Lumar Stealer, ti consigliamo vivamente di utilizzare un software antivirus affidabile per eseguire scansioni regolari del sistema e rimuovere minacce e problemi rilevati.

AIRAVAT RAT (Remote Access Trojan) è un malware Android multifunzionale che prende di mira i dispositivi Android, consentendo agli aggressori di accedere e controllare in remoto il dispositivo della vittima. È progettato con un pannello Web basato su GUI che non richiede il port forwarding. Alcune delle sue funzionalità includono: lettura di tutti i file della memoria interna, download di contenuti multimediali dal dispositivo della vittima, recupero di informazioni di sistema, applicazioni installate, SMS, registri delle chiamate e contatti, invio di SMS e accesso a notifiche, keylogging, acquisizione di autorizzazioni di amministratore, visualizzazione di pagine di phishing rubare credenziali tramite notifiche. AIRAVAT RAT opera in background, rendendone difficile il rilevamento. Si avvia automaticamente al riavvio del dispositivo e alla ricezione di una nuova notifica.