Nei primi sette mesi del 2022 i gruppi criminali hanno infettato collettivamente oltre 890.000 dispositivi degli utenti e rubato oltre 50 milioni di password. Il dato emerge da uno studio di Group-IB, azienda leader di sicurezza informatica, che ha identificato 34 gruppi di lingua russa che distribuiscono malware info-stealing secondo il modello stealer-as-a-service.
Un info stealer è un tipo di malware che raccoglie le credenziali memorizzate nei browser (inclusi account di gioco, servizi di posta elettronica e social media), i dettagli di carta di credito e le informazioni dei crypto wallet dai computer infetti, quindi, invia tutti questi dati all’operatore del malware. Dopo un attacco riuscito, i truffatori o ottengono denaro utilizzando i dati rubati o vendono le informazioni rubate nel dark web. Secondo Group-IB, gli stalers sono una delle principali minacce da tenere d’occhio nel prossimo anno.
Nello specifico, i criminali informatici individuati utilizzano principalmente i tool Racoon e Redline per ottenere le password degli account di gioco su Steam e Roblox, le credenziali per Amazon e PayPal, nonché i record di pagamento degli utenti e le informazioni sui crypto wallet.
Tutti i gruppi identificati orchestrano i loro attacchi attraverso gruppi Telegram in lingua russa e prendono di mira principalmente utenti negli Stati Uniti, Brasile, India, Germania e Indonesia.
Seguendo l’evoluzione del popolare schema di truffa Classiscam, gli analisti di Group-IB Digital Risk Protection hanno rivelato come alcuni “workers” (truffatori online di basso rango) hanno iniziato a passare a uno schema criminale più pericoloso che prevede la distribuzione di info stealers. Inoltre, l’attività illecita, coordinata tramite i gruppi di Telegram, utilizza esattamente lo stesso modello operativo di Classiscam.
Secondo il team di protezione del rischio digitale di Group-IB (parte della Unified Risk Platform), i gruppi e i bot di massa di Telegram progettati per distribuire info stealers sono apparsi per la prima volta all’inizio del 2021. Nel 2021 e nel 2022, gli esperti di Group-IB hanno identificato 34 gruppi attivi su Telegram con una media di circa 200 membri attivi.
Lo stealer più popolare tra i gruppi presi in esame è RedLine, utilizzato da 23 bande su 34. Racoon è al secondo posto, utilizzato da 8 gruppi. Gli stealers personalizzati sono utilizzati in 3 comunità.
Gli esperti spiegano che gli amministratori di solito danno ai “workers” sia RedLine che Racoon in cambio di una quota dei dati o del denaro rubati. Tuttavia, il malware in questione viene offerto in affitto sul dark web per 150-200 dollari al mese. Alcuni gruppi usano 3 stealer contemporaneamente, mentre altri ne hanno solo uno nel loro arsenale.
Dopo essere passati dalla truffa agli utenti di siti Web classificati come stealers, alcuni attori delle minacce hanno riprodotto non solo la gerarchia e il modello di Classiscam, ma anche le sue capacità tecniche. In particolare, i bot di Telegram che generano contenuti dannosi, la comunicazione tra i membri e tutta la loro losca contabilità. Anche i compiti dei “workers” (i truffatori dei ranghi inferiori) sono cambiati: ora devono indirizzare il traffico verso siti Web di truffe esche che si spacciano per aziende note e convincere le vittime a scaricare file dannosi. I criminali informatici incorporano collegamenti per il download di stealers in recensioni video di giochi popolari su YouTube, in software di mining o file NFT su forum specializzati e comunicazioni dirette con artisti NFT e in estrazioni fortunate e lotterie sui social media.
Group-IB stima che tra il 1° marzo e il 31 dicembre 2021, gli stealers gestiti tramite i gruppi di Telegram sono stati in grado di compromettere 538.000 dispositivi. Nei primi 7 mesi del 2022, sono risultati quasi il doppio più attivi infettando più di 890.000 dispositivi in 111 paesi.
I primi 5 paesi più attaccati nel 2022 sono stati Stati Uniti, Brasile, India, Germania e Indonesia con rispettivamente 91.565, 86.043, 53.988, 40.750 e 35.345 dispositivi infetti.
Secondo l’analisi dei gruppi di Telegram, negli ultimi 10 mesi del 2021 i criminali informatici hanno raccolto 27.875.879 set di password, 1.215.532.572 file di cookie, 56.779 set di record di pagamento e dati da 35.791 crypto wallets.
Nei primi 7 mesi del 2022, gli attori delle minacce hanno rubato 50.352.518 password, 2.117.626.523 file cookie, dettagli di 103.150 carte bancarie e dati da 113.204 crypto wallets. Il valore del dark web dei soli log rubati e dei dettagli delle carte compromesse è di circa $ 5,8 milioni, stimano gli esperti di Group-IB.
Secondo Group-IB, nel 2021, gli attori delle minacce in tutto il mondo hanno raccolto più frequentemente le credenziali dell’account PayPal (oltre il 25%) e le credenziali Amazon (oltre il 18%). Nel 2022 i servizi più presi di mira sono gli stessi, ossia PayPal (oltre il 16%) e Amazon (oltre il 13%). Tuttavia, nel corso dell’anno, i casi di furto di password per servizi di gioco (Steam, EpicGames, Roblox) nei log sono quasi quintuplicati.
“L’afflusso di un numero enorme di lavoratori nella popolare truffa Classiscam – che la Unified Risk Platform di Group-IB ha identificato, al suo apice, comprendeva oltre un migliaio di gruppi criminali e centinaia di migliaia di siti web fasulli – ha portato i criminali a competere per risorse e alla ricerca di nuovi modi per realizzare profitti”, commenta il team Digital Risk Protection di Group-IB. “La popolarità degli schemi che coinvolgono gli stealers può essere spiegata dalla bassa barriera all’ingresso. I principianti non hanno bisogno di conoscenze tecniche avanzate poiché il processo è completamente automatizzato e l’unico compito del lavoratore è creare un file con uno stealer nel bot di Telegram e indirizzare il traffico verso di esso. Per le vittime i cui computer vengono infettati da uno stealer, tuttavia, le conseguenze possono essere disastrose“.
https://www.group-ib.com/media-center/press-releases/professional-stealers/