ESET Threat Report: gli infostealer usano l’AI e il malware bancario per creare video deepfake per sottrarre denaro. Il Report copre il periodo compreso tra dicembre 2023 e maggio 2024

ESET Threat Report H1 2024

La specialista nella lotta per la cybersecurity ESET, ha pubblicato l’ultimo Threat Report che sintetizza le tendenze osservate dai sistemi di rilevamento da dicembre 2023 a maggio 2024. Negli ultimi sei mesi, si è delineato un panorama dinamico di minacce a tema finanziario che mira a sottrarre denaro su Android, puntando ai fondi bancari mobili delle vittime sia in forma di malware bancario “tradizionale” sia, più recentemente, di cryptostealer.

Come si presentano le nuove insidie per sottrarre denaro?

Il malware di tipo infostealer è attualmente in grado di presentarsi sotto forma di strumento di genAI e il nuovo malware mobile GoldPickaxe è capace di trafugare i dati di riconoscimento facciale per creare video deepfake che poi vengono utilizzati dagli operatori del malware per autenticare transazioni finanziarie fraudolente. Recentemente si è scoperto che i videogiochi e gli strumenti di cheating utilizzati nei giochi multiplayer online contengono malware infostealer come RedLine Stealer, che secondo la telemetria di ESET, ha registrato diversi picchi di rilevamento nel primo semestre del 2024.

“GoldPickaxe ha versioni sia per Android che per iOS e ha preso di mira le vittime nel sud-est asiatico attraverso applicazioni maligne localizzate. Quando i ricercatori di ESET hanno indagato su questa famiglia di malware, hanno scoperto che un modello Android più vecchio di GoldPickaxe, denominato GoldDiggerPlus, si è diffuso anche in America Latina e in Sudafrica, puntando attivamente le vittime in queste regioni”, spiega Jiří Kropáč, Director of ESET Threat Detection.

Negli ultimi mesi il malware di tipo Infostealer ha iniziato a sfruttare anche l’imitazione di strumenti di genAI. Nell’H1 2024, Rilide Stealer è stato individuato mentre utilizzava i nomi degli assistenti genAI, come Sora di OpenAI e Gemini di Google, per attirare potenziali vittime. In un’altra campagna dannosa, l’infostealer Vidar si nascondeva dietro una presunta app per desktop Windows per il generatore di immagini AI Midjourney, anche se il modello AI di Midjourney è accessibile solo tramite Discord. Dal 2023, ESET Research ha osservato un aumento dell’abuso del tema AI da parte dei cybercriminali, una tendenza che si prevede continuerà.

Lotta ai truffatori smascherati

Gli appassionati di videogiochi che si sono avventurati al di fuori dell’ecosistema di gioco ufficiale sono stati attaccati dagli infostealer. È stato infatti recentemente scoperto che alcuni videogiochi crackati e strumenti di cheating utilizzati nei giochi multiplayer online contenevano malware infostealer, come Lumma Stealer e RedLine Stealer. RedLine Stealer ha registrato diversi picchi di rilevamento nel primo semestre del 2024 nella telemetria di ESET, causati da campagne in Spagna, Giappone e Germania. Le ondate più recenti sono state così significative che i rilevamenti di RedLine Stealer nel primo semestre 2024 hanno superato di un terzo quelli del secondo semestre 2023.

Balada Injector, una banda nota per lo sfruttamento delle vulnerabilità dei plug-in di WordPress, ha continuato a dilagare nella prima metà del 2024, compromettendo oltre 20.000 siti web e accumulando oltre 400.000 rilevamenti nella telemetria di ESET per le varianti utilizzate nella loro recente campagna. Sul fronte del ransomware, il precedente leader LockBit è stato spodestato dall’Operazione Chronos, un intervento globale condotto dalle forze dell’ordine nel febbraio 2024. Sebbene la telemetria di ESET abbia registrato due campagne LockBit degne di nota nel primo semestre del 2024, queste sono risultate essere opera di bande non affiliate a LockBit che hanno utilizzato il builder LockBit divulgato.

L’ESET Threat Report include notizie su una recente indagine approfondita su una delle campagne di malware lato server più avanzate, ancora in espansione: il gruppo Ebury, con il suo malware e la sua botnet. Nel corso degli anni, Ebury è stato utilizzato come backdoor per compromettere quasi 400.000 server Linux, FreeBSD e OpenBSD; più di 100.000 risultavano ancora compromessi alla fine del 2023.