I crypto stealer sono una specifica categoria di malware che vengono utilizzati per infettare pc e altri device in modo da permettere il furto di cryptovalute. Vengono classificati come come malware trojan in grado di attaccare gli utenti proprio sfruttando l’accesso ai loro sistemi in qualche fase della transazione.

L’ultima minaccia è proprio il CryptoShuffler, un trojan che agisce in modo molto nel momento in cui gli utenti copiano e incollano i numeri del portafoglio elettronico del destinatario della propria procedura di pagamento, cioè colui che  dovrebbe ricevere i soldi.

Ecco come agisce.

Quasi tutte le cryptovalute prevedono per il trasferimento del denaro la conoscenza dell’identificativo (ID) del destinatario, una sorta di IBAN.

CryptoShuffler, una volta attivato il trojan, monitora le clipboard dei computer infettati, ma mentre la fase di copia dell’ID avviene in modo corretto, poiché il trojan si è impossessato del controllo della clipboard, al comando Incolla sostituirà quanto veramente copiato con l’ID del conto dell’attaccante.

La sostituzione avviene in pochi millisecondi, e l’operazione non è nemmeno troppo complicata perché è relativamente semplice individuare l’indirizzo del portafoglio dell’attaccato in quanto le cifre iniziali sono spesso identiche tra loro ed è quindi più facile creare indirizzi simili e un indirizzo non valido è ben diverso dall’aver incollato un indirizzo sbagliato ma valido.

CryptoShuffler ovviamente gode di buona compagnia, come per esempio DiscordiaMiner su Cryptovaluta e NukeBot in uno scenario decisamente in evoluzione. Non ci stupiremmo infatti se con la diffusione delle cryptovalute la sofisticatezza dei livelli di attacco innalzasse ulteriormente l’asticella della sfida.