Tra i tanti sistemi riconducibili all’ambiente crimeware-as-a-service (CaaS), è stato di recente individuato un nuovo infostealer alquanto temibile. Stiamo parlando di Meduza, un agente malevolo attivo su Windows con come unico obiettivo quello di rubare più informazioni possibili alle sue vittime.
Secondo il rapporto proposto dagli esperti di Uptycs, questo infostealer “Ruba le attività di navigazione degli utenti, estraendo una vasta gamma di dati relativi al browser” aggiungendo poi come questi includono “dalle credenziali di accesso critiche al prezioso registro della cronologia di navigazione e ai segnalibri meticolosamente curati, nessun contenuto digitale è al sicuro. Anche le estensioni del portafoglio crittografico, i gestori di password e le estensioni 2FA sono vulnerabili“.
Gli esperti di sicurezza descrivono Meduza come un sistema efficiente e capace di adottare tecniche di offuscamento avanzate. Altra curiosità è la sua capacità di disattivarsi se il computer infettato presenta un indirizzo IP che risulta collocato geograficamente nella Comunità degli Stati Indipendenti (CSI) o il Turkmenistan.
Ciò potrebbe lasciar pensare che l’autore della minaccia sia un abitante di un paese facente parte dell’ex Unione Sovietica.
Meduza: a rischio anche wallet di criptovalute, browser Web, Discord e Steam
A livello pratico, Meduza agisce con un raggio d’azione preoccupante: si parla di dati a rischio per 19 password manager, 76 wallet di criptovalute, 95 brower Web oltre a un numero elevato di altri software (inclusi Discord e Steam).
A rischio sono anche diverse voci del registro di Windows che, una volta nelle mani dei cybercriminali, rivelano diverse informazioni preziose rispetto alla vittima.
Il malware in questione è attualmente in vendita su diversi forum clandestini del Dark Web oltre ad alcuni canali Telegram. Da quanto risulta, l’abbonamento per poter utilizzare l’infostealer ha un costo che parte da 199 dollari al mese in su.
Le informazioni rubate da Meduza sono rese disponibili tramite un pannello, molto facile da utilizzare. Secondo i ricercatori “Questa funzione consente agli abbonati di scaricare o eliminare i dati rubati direttamente dalla pagina Web, garantendo loro un livello di controllo senza precedenti sulle informazioni ottenute illecitamente“.