Ladro di Miolab
Miolab, noto anche come Nova, è un sofisticato malware per il furto di informazioni, progettato specificamente per colpire gli utenti macOS. Distribuito tramite forum di hacker con il modello Malware-as-a-Service (MaaS), consente ai criminali informatici di accedere a un potente set di strumenti senza richiedere competenze tecniche approfondite. Il malware è in grado di estrarre dati sensibili da estensioni per portafogli di criptovalute, browser web e varie applicazioni di gestione, oltre a raccogliere file direttamente dai sistemi compromessi. La rimozione immediata è fondamentale non appena viene rilevato, per minimizzare i danni.
Sommario
Progettato per l’efficienza, costruito per l’evasione
Miolab non è un semplice malware per il furto di dati; integra un pannello di controllo centralizzato e strumenti di gestione degli attacchi che ne elevano significativamente il livello di pericolosità. Questa infrastruttura consente anche ad aggressori con scarse competenze di eseguire campagne complesse. La sua architettura leggera e ottimizzata migliora la propagazione, garantisce prestazioni costanti in diversi ambienti macOS e aiuta a eludere i tradizionali meccanismi di rilevamento.
Comando e controllo: gestione degli attacchi semplificata
Il pannello di controllo integrato fornisce agli aggressori una panoramica strutturata delle vittime compromesse, inclusi dati geografici e informazioni raccolte. Include anche la funzionalità per riutilizzare le sessioni di autenticazione Google rubate, consentendo l'accesso non autorizzato agli account senza richiedere password o bypassando direttamente l'autenticazione a due fattori.
Inoltre, Miolab supporta la distribuzione di pagine di distribuzione dannose e metodi di attacco simili a ClickFix. Gli operatori beneficiano di notifiche in tempo reale tramite Telegram e possono automatizzare diverse fasi delle loro campagne, aumentando l'efficienza operativa e la scalabilità.
Funzionalità di estrazione dati da browser e criptovalute
Miolab prende di mira in modo aggressivo i dati memorizzati nei browser, estraendo credenziali e informazioni relative alla sessione che possono essere sfruttate per ulteriori compromissioni. La sua portata si estende sia ai browser più diffusi che a quelli di nicchia, ampliando significativamente la sua superficie di impatto.
- I dati sensibili raccolti dal browser includono password salvate, cookie, cronologia di navigazione e dettagli di compilazione automatica come email e indirizzi
- Vengono inoltre raccolti elementi di autenticazione come i token di Google e i cookie di Safari.
I browser interessati includono Chrome, Edge, Firefox, Arc, Brave, Librewolf, Opera, Opera GX, SeaMonkey, Tor Browser, Vivaldi, Waterfox, Yandex e Coc Coc - Oltre ai browser, Miolab si concentra in modo particolare sulle criptovalute, estraendo file come .dat, .key e .keys da oltre 200 estensioni di wallet. Prende di mira anche le applicazioni utilizzate per la gestione dei wallet hardware, consentendo il furto di dati di recupero fondamentali.
- Tra gli strumenti di criptovaluta presi di mira figurano Atomic Wallet, Binance, Bitcoin, DashCore, Dogecoin, Electrum, Exodus, Guarda, Litecoin, Monero, Tonkeeper e Wasabi Wallet.
- Applicazioni come Ledger Live, Ledger Wallet e Trezor Suite sono specificamente progettate per l'estrazione della frase di recupero di 24 parole.
Oltre i browser: messaggistica e sfruttamento dei dati locali
Il malware estende la sua portata alle applicazioni di comunicazione e produttività. Può dirottare sessioni attive da piattaforme come Telegram e Discord, consentendo agli aggressori di accedere agli account senza credenziali. Inoltre, ispeziona Apple Notes, una posizione comune in cui gli utenti possono inavvertitamente memorizzare informazioni sensibili come password o frasi di recupero di criptovalute.
Una volta completata la raccolta dei dati, Miolab comprime le informazioni rubate in un archivio ZIP e le esfiltra tramite HTTP. Per nascondere la sua attività, visualizza un messaggio di errore ingannevole di macOS che indica che l'applicazione non può essere eseguita.
Impatto: il vero costo dell’infezione
Un'infezione da Miolab può avere gravi conseguenze. Le vittime possono subire perdite finanziarie a causa del furto di criptovalute, dell'accesso non autorizzato agli account, del furto di identità, del danno alla reputazione e della possibilità di ulteriori infezioni da malware derivanti dalla compromissione iniziale.
Catena di infezione: l’ingegneria sociale nella sua essenza
Miolab si basa in gran parte sull'inganno per infiltrarsi nei sistemi. I criminali informatici lo distribuiscono tramite false applicazioni macOS confezionate come file immagine disco (.DMG), create con cura per assomigliare a software legittimi. Questi programmi di installazione spesso presentano un marchio, icone e interfacce utente convincenti per aumentarne la credibilità.
Una volta eseguito, il malware avvia un processo di infezione a più fasi. Presenta una falsa interfaccia di installazione che invita gli utenti a ignorare gli avvisi di sicurezza facendo clic con il pulsante destro del mouse e selezionando "Apri". Successivamente, tenta di terminare l'applicazione Terminale per limitare la visibilità delle sue azioni. Viene visualizzata una falsa richiesta di password di macOS, che induce gli utenti a fornire le proprie credenziali di sistema.
Dopo aver convalidato la password, Miolab raccoglie informazioni a livello di sistema, incluse le specifiche hardware e le configurazioni software. Procede quindi a scansionare le directory principali come Desktop, Documenti e Download, prendendo di mira file quali documenti, fogli di calcolo, PDF e dati relativi alle password. Durante questo processo, gli utenti potrebbero visualizzare richieste di autorizzazione, mentre il malware, in modo silenzioso, raccoglie e prepara i dati per l'esfiltrazione.
