Quando ha avuto inizio questa campagna malware?

La campagna malware è attiva dal giugno 2025. Da quando è iniziata, ha già compromesso più di 90 host.

Che tipo di file viene utilizzato per distribuire il malware?

Il malware viene distribuito tramite file installer MSI, che è il formato standard dei pacchetti Windows utilizzato da molti fornitori di software legittimi.

Cosa fa il malware una volta che infetta un sistema?

Il malware distribuisce un kit composto da tre moduli che esegue la ricognizione del sistema, attiva un keylogger per catturare credenziali e codici 2FA, e ruba password salvate nel browser, cookie di sessione e dati di compilazione automatica.

Perché incorporare credenziali SSH e token GitLab hardcoded all'interno dell'installer è considerato un rischio per la sicurezza?

Le credenziali hardcoded incorporate nei file installer sono leggibili da chiunque analizzi il binario, il che può esporre i server di comando e controllo degli attaccanti e i loro repository di codice a difensori e investigatori.

Usare un hardware wallet è sufficiente per proteggersi da questo tipo di attacco?

Secondo l'articolo, affidarsi esclusivamente a un hardware wallet non è una protezione sufficiente contro questa campagna, perché il malware prende di mira credenziali, cookie di sessione e sequenze di tasti che possono aggirare l'autenticazione senza richiedere l'accesso diretto al wallet.

Il malware con installer MSI prende di mira i trader di criptovalute dal giugno 2025

Una sofisticata campagna malware scoperta ai danni dei trader di criptovalute è silenziosamente attiva dal giugno 2025, sfruttando un trucco ingannevolmente semplice ma efficace: incorporare credenziali SSH e token GitLab direttamente all'interno di file installer MSI. L'operazione ha già compromesso più di 90 host ed è specificamente progettata per prendere il controllo di account di trading di criptovalute, combinando ricognizione del sistema, keylogging e furto di dati dal browser in un'unica catena d'attacco coordinata. Per chiunque detenga o scambi attivamente asset digitali, le modalità di questa campagna rivelano perché affidarsi esclusivamente a un hardware wallet non è una protezione sufficiente.

Come funziona la campagna con installer MSI: ricognizione, keylogging e furto dal browser

L'attacco ha inizio quando il bersaglio esegue quello che sembra essere un legittimo installer MSI, il formato standard dei pacchetti Windows utilizzato da innumerevoli fornitori di software. Una volta avviato, l'installer distribuisce un kit malware composto da tre moduli che operano in sequenza.

Il primo modulo esegue una ricognizione del sistema, mappando la configurazione dell'host infetto, l'ambiente di rete e il software installato. Questa fase fornisce all'attaccante un quadro chiaro di ciò con cui ha a che fare prima di procedere a un'intrusione più profonda. Il secondo modulo attiva un keylogger, catturando tutto ciò che la vittima digita, incluse le credenziali di accesso agli exchange, i codici di autenticazione a due fattori e le passphrase dei wallet. Il terzo modulo prende di mira i dati archiviati nel browser, estraendo password salvate, cookie di sessione e dati di compilazione automatica che possono essere usati per aggirare l'autenticazione sulle piattaforme finanziarie senza dover conoscere direttamente la password dell'account.

La combinazione è deliberata. Il keylogging cattura le credenziali in movimento; il furto dal browser cattura le credenziali a riposo. Insieme, lasciano pochissime lacune da sfruttare.

Perché le credenziali hardcoded rappresentano un rischio sistemico

Ciò che rende questa campagna particolarmente degna di nota dal punto di vista della ricerca sulla sicurezza non è soltanto ciò che fa alle vittime, ma ciò che rivela degli stessi attaccanti. Incorporare credenziali SSH hardcoded e token GitLab all'interno dell'installer significa che il malware porta con sé un collegamento diretto e statico alla propria infrastruttura backend.

Si tratta di un fallimento della sicurezza operativa da parte degli attaccanti, e non è un errore esclusivo di questo gruppo. Quando gli sviluppatori — che si tratti di software legittimo o di strumenti malevoli — incorporano token di autenticazione hardcoded in file compilati o confezionati, quelle credenziali diventano leggibili da chiunque analizzi il binario. Per i difensori, le credenziali hardcoded nel malware possono esporre i server di comando e controllo, i repository di codice e persino il flusso di lavoro interno di sviluppo di un attore di minacce. Per le vittime, la stessa falla che potrebbe aiutare gli investigatori a rintracciare gli attaccanti non offre alcuna protezione dopo che la compromissione si è già verificata.

Questo schema rispecchia tendenze più ampie nel malware che prende di mira il cloud. Come riportato nell'articolo sul malware PCPJack che sfrutta le credenziali cloud, i framework di furto di credenziali trattano sempre più i token non adeguatamente protetti come obiettivi facili, che appartengano alle vittime o, come in questo caso, agli stessi attaccanti.

Chi viene preso di mira e come vengono selezionati i trader di criptovalute

Il focus della campagna sui trader di criptovalute non è casuale. Gli account crypto presentano un profilo di bersaglio particolarmente attraente: spesso contengono un valore liquido significativo, le transazioni sono irreversibili una volta trasmesse alla blockchain, e molti trader utilizzano interfacce basate su browser per gestire posizioni su più exchange contemporaneamente.

Quest'ultimo punto è cruciale. Il trading basato su browser implica che le sessioni memorizzate nel browser, i cookie e le credenziali salvate rappresentano un percorso diretto per accedere all'account. Un attaccante che cattura un cookie di sessione valido da un browser può spesso autenticarsi a un exchange senza innescare richieste di password o di autenticazione a due fattori, perché la sessione stessa è già autenticata. Il componente keylogger copre poi qualsiasi scenario in cui il trader si disconnette e accede nuovamente, catturando nuove credenziali in tempo reale.

Con oltre 90 host già confermati come compromessi, la portata della campagna suggerisce un'operazione mirata ma persistente, piuttosto che un approccio di tipo spray-and-pray. I trader che hanno scaricato software da fonti non ufficiali o non verificate dal giugno 2025 sono i più a rischio.

Come VPN, gestori di credenziali e buone pratiche nel browser riducono la superficie d'attacco

Nessuno strumento da solo elimina il rischio rappresentato da questa campagna, ma diverse pratiche riducono significativamente l'esposizione.

Una VPN non impedisce al malware di eseguirsi una volta che si trova già su una macchina, ma riduce il rischio di intercettazione del traffico e può limitare la visibilità a livello di rete che un attaccante acquisisce durante la fase di ricognizione. Ancora più importante, usare una VPN in modo coerente su tutti i dispositivi aiuta a stabilire la corretta gestione della rete come abitudine, piuttosto che come ripensamento.

I gestori di credenziali affrontano uno dei principali vettori d'attacco qui presenti: le password salvate nel browser. Quando le credenziali sono archiviate in un gestore dedicato e cifrato piuttosto che nel vault delle password nativo del browser, il furto di dati dal browser produce informazioni molto meno sfruttabili. La maggior parte dei gestori di credenziali supporta anche la generazione di password uniche e complesse per ogni account, il che limita il raggio d'azione nel caso in cui un set di credenziali venga catturato.

Anche le buone pratiche nel browser sono importanti. I trader dovrebbero considerare l'utilizzo di un profilo browser dedicato, o di un browser separato del tutto, esclusivamente per l'accesso agli exchange. Quel profilo non dovrebbe avere password salvate, nessuna estensione al di là di quelle strettamente necessarie, e dovrebbe essere ripulito dai cookie dopo ogni sessione. I cookie di sessione non possono essere rubati da una sessione che non esiste più.

Infine, la disciplina nell'installazione del software è la prima linea di difesa. I file MSI ottenuti al di fuori dei siti ufficiali dei fornitori o degli app store comportano un rischio reale. Verificare gli hash dei file, controllare le firme degli sviluppatori e trattare qualsiasi installer che richieda la disattivazione del software di sicurezza come un immediato segnale d'allarme può prevenire l'esecuzione iniziale che rende possibile tutto il resto.

Cosa significa per te

Se scambi attivamente criptovalute o detieni asset digitali accessibili tramite un'interfaccia basata su browser, questa campagna è un avvertimento diretto. Gli hardware wallet proteggono i fondi on-chain, ma non proteggono gli account degli exchange, ed è lì che questo malware è progettato per causare danni.

Inizia controllando dove risiedono attualmente le tue credenziali. Se le password dei tuoi exchange sono salvate in un browser, trasferiscile in un gestore di credenziali dedicato e genera nuove password uniche per ogni piattaforma. Rivedi le tue estensioni del browser e rimuovi tutto ciò che non usi attivamente. Controlla la cronologia dei download per individuare eventuali installer MSI ottenuti dal giugno 2025 da fonti che non puoi verificare.

La crescente sofisticazione delle operazioni di furto di credenziali — dalle campagne con token hardcoded descritte qui allo sfruttamento di molteplici CVE documentato nei framework che prendono di mira il cloud — rende la gestione proattiva delle credenziali una delle difese più efficaci a disposizione dei singoli utenti. Dedicare un'ora oggi a verificare la propria configurazione è considerevolmente meno doloroso che affrontare domani il recupero da una violazione dell'account.