Recentemente, un'analisi dei registri di malware che rubano informazioni pubblicati sul dark web ha portato alla scoperta di migliaia di utenti coinvolti in siti di materiale pedopornografico (CSAM). Questo nuovo utilizzo delle informazioni sottratte potrebbe rappresentare un passo avanti nella lotta contro crimini di grave entità.

Dettagli del Rapporto

Secondo un rapporto di prova di concetto pubblicato la scorsa settimana, circa 3.300 utenti unici sono stati trovati con account su fonti note di CSAM. Un dato significativo è che il 4,2% di questi utenti possedeva credenziali per più fonti, suggerendo una maggiore probabilità di comportamenti criminali.

Malware che Rubano Informazioni

Negli ultimi anni, le varianti di malware che rubano informazioni sono diventate una minaccia sempre più diffusa, colpendo vari sistemi operativi con l'obiettivo di sottrarre informazioni sensibili come credenziali, portafogli di criptovalute, dati delle carte di pagamento e screenshot. Questo fenomeno è evidenziato dalla crescita di nuovi ceppi di stealer malware come:

• Kematian Stealer
• Neptune Stealer
• 0bj3ctivity
• Poseidon (precedentemente noto come RodStealer)
• Satanstealer
• StrelaStealer

Questi malware vengono distribuiti tramite campagne di phishing, spam, software craccati, siti di aggiornamento falsi, SEO poisoning e malvertising. I dati raccolti tramite questi programmi finiscono tipicamente sul dark web sotto forma di registri di stealer, che vengono poi acquistati da altri criminali informatici per i loro scopi illeciti.

Comportamenti a Rischio

Un rapporto dello scorso luglio ha evidenziato come i dipendenti spesso salvano credenziali aziendali su dispositivi personali o accedono a risorse personali su dispositivi aziendali, aumentando il rischio di infezione. Esiste infatti un ecosistema complesso in cui i venditori di malware-as-a-service (MaaS) vendono stealer malware su canali Telegram illeciti, gli attori delle minacce lo distribuiscono tramite software craccati o email phishing, e successivamente vendono i registri dei dispositivi infetti su mercati specializzati del dark web.

Risultati dell'Analisi

Il gruppo Insikt di Recorded Future ha affermato di essere riuscito a identificare 3.324 credenziali uniche utilizzate per accedere a domini CSAM noti tra febbraio 2021 e febbraio 2024, utilizzandole per smascherare tre individui che mantenevano account su almeno quattro siti web. Il fatto che i registri di stealer comprendano anche indirizzi di portafogli di criptovalute significa che potrebbero essere utilizzati per determinare se tali indirizzi sono stati utilizzati per procurarsi CSAM e altri materiali dannosi.

Distribuzione Geografica

Paesi come Brasile, India e Stati Uniti hanno registrato il maggior numero di utenti con credenziali per comunità CSAM note, anche se la società ha affermato che ciò potrebbe essere dovuto a una "sovrarappresentazione dovuta all'origine del dataset".

Conclusioni degli Esperti

Il malware che ruba informazioni e le credenziali rubate sono destinati a rimanere una pietra angolare dell'economia criminale informatica a causa dell'elevata domanda da parte degli attori delle minacce che cercano l'accesso iniziale ai bersagli. Recorded Future ha condiviso i suoi risultati con le forze dell'ordine, sottolineando che i registri di stealer possono essere utilizzati dagli investigatori per tracciare lo sfruttamento minorile sul dark web e fornire approfondimenti su una parte del dark web particolarmente difficile da tracciare.

Tweet