Google lancia l’allarme sul nuovo malware per criptovalute

Google Threat Intelligence ha identificato una nuova famiglia di malware per il furto di criptovalute denominata Ghostblade, che prende di mira dispositivi iOS. Il programma appartiene alla suite di strumenti browser-based nota come DarkSword ed è stato progettato per esfiltrare chiavi private e altre informazioni sensibili dagli utenti.

Il codice di Ghostblade è scritto in JavaScript e ottimizzato per un furto rapido di dati: si attiva, raccoglie informazioni dal dispositivo compromesso e le invia a server controllati dagli aggressori, secondo le analisi dei ricercatori.

I ricercatori evidenziano che il malware non risiede in esecuzione continua sul dispositivo, non richiede componenti aggiuntivi per funzionare e si disattiva dopo aver esfiltrato i dati. Questo comportamento riduce la probabilità di rilevamento tradizionale.

Per aumentare la furtività, Ghostblade contiene routine che cancellano i report di crash dal dispositivo compromesso, ostacolando la ricezione di tali segnali da parte del produttore del sistema operativo e complicando le attività di analisi forense.

Tra le tipologie di dati che il malware è in grado di raccogliere figurano i messaggi inviati tramite iMessage e Telegram, informazioni contenute nella SIM, dati di identità, file multimediali, dati di geolocalizzazione e impostazioni di sistema, oltre alle chiavi private utilizzate per accedere ai portafogli di criptovalute.

Come funziona Ghostblade

Il vettore operativo di Ghostblade è basato su tecniche browser-centriche: una volta che l’utente interagisce con contenuti malevoli (per esempio visitando una pagina compromessa o cliccando su un elemento manipolato), il codice JavaScript esegue routine di raccolta dati all’interno del contesto del browser o di webview integrate nelle app.

La raccolta è mirata e limitata nel tempo: il malware estrae solo le informazioni utili e poi interrompe la propria attività per evitare comportamenti sospetti che potrebbero attivare controlli automatici o interventi manuali di analisti della sicurezza.

La cancellazione dei report di crash rappresenta una tecnica aggiuntiva di offuscamento, pensata per impedire l’arrivo di segnali diagnostici ai centri di telemetria e ridurre la probabilità che l’incidente venga tracciato fino alla causa reale.

Vettori d’attacco e contesto attuale

Negli ultimi mesi c’è stata una diversificazione dei vettori che gli aggressori utilizzano per sottrarre criptovalute: si è osservato uno spostamento da exploit puramente software verso attacchi che sfruttano l’errore umano, come il phishing, il cosiddetto wallet poisoning e la manipolazione di link e domini.

Nominis, piattaforma di intelligence su blockchain, ha rilevato una riduzione delle perdite attribuite a hack infrastrutturali: le stime riportano che le perdite mensili sono scese a 49 milioni di dollari a febbraio, rispetto ai 385 milioni di gennaio. Questo cambiamento indica una maggiore incidenza di frodi basate sull’ingegneria sociale e sulle trappole web.

Gli utenti privati risultano particolarmente esposti, poiché molte trappole sono studiate per indurre l’utente a fornire volontariamente credenziali o a interagire con pagine che iniettano codice malevolo. Le pagine di phishing replicano spesso l’aspetto dei servizi legittimi e utilizzano URL molto simili per ingannare anche utenti esperti.

Implicazioni per la sicurezza e raccomandazioni

Per mitigare il rischio associato a minacce come Ghostblade è fondamentale adottare una combinazione di misure tecniche e comportamentali: mantenere il sistema operativo e le applicazioni aggiornate, evitare di aprire link sospetti e non scaricare componenti da fonti non verificate.

Per chi gestisce criptovalute, si raccomanda l’uso di portafogli hardware per conservare le chiavi private, l’attivazione dell’autenticazione a due fattori ove possibile e la verifica scrupolosa dei domini e dei certificati prima di inserire credenziali o autorizzare transazioni.

Per le organizzazioni e gli operatori di servizio, le azioni consigliate includono il monitoraggio del traffico di rete e del comportamento delle applicazioni, l’analisi dei segnali di compromissione anche non convenzionali (ad esempio impennate di richieste verso endpoint sconosciuti) e la collaborazione con fornitori di threat intelligence per aggiornare regole di rilevamento e blocco.

Dato che il malware può cancellare i report di crash, i team di sicurezza dovrebbero integrare log telemetrici esterni e meccanismi di raccolta remota che non dipendano esclusivamente dalle segnalazioni locali del dispositivo.

Evoluzione delle minacce e azioni future

La comparsa di DarkSword e dei suoi componenti come Ghostblade evidenzia l’evoluzione delle metodologie d’attacco verso soluzioni modulari e focalizzate sull’ingegneria sociale. Questo richiede una risposta coordinata tra produttori di sistemi operativi, provider di browser, exchange e forze dell’ordine.

È importante rafforzare le pratiche di condivisione delle informazioni sulle minacce tra operatori del settore e promuovere campagne di sensibilizzazione rivolte agli utenti finali, affinché comprendano i rischi associati a link e pagine sospette e adottino comportamenti difensivi efficaci.

Infine, la sorveglianza continua e l’aggiornamento delle policy di sicurezza su dispositivi mobili e applicazioni web rimangono strumenti chiave per ridurre la superficie d’attacco e limitare l’impatto di campagne mirate al furto di crypto e dati sensibili.

Le informazioni presentate si basano su analisi di intelligence e su report pubblici; si raccomanda a operatori e utenti di verificare con le proprie fonti tecniche e di sicurezza per applicare le contromisure più appropriate al contesto specifico.