Dalle password alle chiavi private: come i cybercriminali stanno fondendo il malware vecchia scuola con i moderni crypto drainer
Una nuova razza di malware sta colmando il divario tra il furto tradizionale di credenziali e i colpi in criptovalute all’avanguardia, esponendo gli utenti a un rischio finanziario senza precedenti.
Quando i cacciatori di malware scoprirono per la prima volta EtherRAT anni fa, era uno strumento basato su Linux che sottraeva credenziali in silenzio. Oggi, la sua variante più recente segnala un cambiamento sismico: le stesse tattiche che un tempo alimentavano il furto di dati più ordinario vengono ora trasformate in armi contro i wallet crypto, sfumando i confini tra la criminalità informatica Web2 e Web3. Benvenuti nell’era dei colpi ibridi, dove il malware legacy incontra il banditismo su blockchain.
La minaccia ibrida: quando Web2 incontra Web3
Il sottobosco cyber sta assistendo alla fusione di due mondi distinti: le tattiche di furto credenziali di un tempo e le esche ad alta posta dell’era delle criptovalute. I criminali non si accontentano più di sole password e login: vogliono chiavi private, NFT e qualsiasi asset digitale che possa essere prosciugato da wallet ignari.
I crypto drainer di oggi sono lontani anni luce dagli script goffi del passato. Piattaforme come StepDrainer operano come malware-as-a-service, prendendo di mira Ethereum, Arbitrum, Polygon e altro ancora. Questi drainer si mascherano da dashboard di trading dall’aspetto curato o portali di conformità, sfruttando design UI familiari per indurre fiducia negli utenti. Con pochi clic, le vittime vengono raggirate a collegare i wallet e ad autorizzare una spesa illimitata di token-spesso con overlay di transazione fabbricati che mostrano falsamente fondi in arrivo.
Una volta collegati, script sofisticati iniettano invisibilmente codice malevolo, interrogano i dati on-chain per ottenere la configurazione e sottraggono gli asset verso wallet controllati dagli attaccanti. Gli attori della minaccia dietro questi schemi si sono professionalizzati, offrendo i loro strumenti nei mercati underground e affinando costantemente le tattiche per aggirare i prodotti di sicurezza.
Entra in scena EtherRAT: vecchio malware, nuovi trucchi
L’ultima svolta arriva da EtherRAT, un tempo confinato a Linux, ora rinato per Windows. Distribuita tramite versioni manomesse di strumenti di amministrazione legittimi come Tftpd64, questa variante impacchetta il malware con un runtime Node.js incorporato, consentendo l’esecuzione furtiva del suo payload JavaScript. Scava in profondità, creando directory nascoste e chiavi di registro per persistere tra i riavvii, il tutto mentre conduce ricognizione sulle difese e sull’ambiente del sistema infetto.
Questa convergenza significa che un singolo installer compromesso può aprire la porta sia al classico furto di credenziali sia al crypto draining più avanzato-senza far scattare gli allarmi tradizionali. Per gli utenti, il messaggio è chiaro: i confini tra vecchie e nuove minacce informatiche stanno svanendo, e la vigilanza è più vitale che mai.
Conclusione: il futuro dei colpi informatici è ibrido
L’evoluzione di minacce come EtherRAT e StepDrainer segna una nuova era in cui i cybercriminali mescolano tecniche legacy con truffe esperte di blockchain. Man mano che l’economia dei drainer matura e gli attaccanti si professionalizzano, gli utenti devono adattarsi-scrutinando i download, ricontrollando i prompt del wallet e riconoscendo che, nel mondo del cybercrime, nulla resta compartimentato a lungo.
TECHCROOK
Per ridurre il rischio di furto credenziali e di “crypto draining” tramite installer trojanizzati e script malevoli, una soluzione concreta è Bitdefender Total Security, suite consumer multipiattaforma pensata per bloccare malware moderni e tecniche di persistenza su Windows. Integra protezione in tempo reale con analisi comportamentale contro esecuzioni sospette (anche da tool legittimi manomessi), difese anti-phishing e anti-frode utili contro finte dashboard di trading e portali “compliance”, oltre a controllo dei download e protezione web. Include anche funzioni di hardening di base (firewall, prevenzione exploit, scansioni programmabili) per ridurre la superficie d’attacco quando i criminali combinano furto di password e attacchi ai wallet. Il prodotto è disponibile su diversi canali e si può acquistare anche su Amazon.
Bitdefender Total Security è disponibile su diversi canali e si può acquistare anche su Amazon.
WIKICROOK
- Credential Stealer: Un credential stealer è un malware progettato per individuare e rubare password, chiavi digitali o token di autenticazione dal computer o dal dispositivo della vittima.
- Crypto Drainer: Un crypto drainer è uno strumento o un sito malevolo che inganna gli utenti inducendoli a trasferire criptovaluta dai loro wallet agli indirizzi degli attaccanti.
- Malware: Il malware è un software dannoso progettato per infiltrarsi, danneggiare o rubare dati da dispositivi informatici senza il consenso dell’utente.
- Dynamic Script Injection: L’iniezione dinamica di script carica codice malevolo in siti web o app in fase di esecuzione, aiutando gli attaccanti a eludere il rilevamento e a compromettere i dati degli utenti o la sicurezza del sistema.
- Persistence: La persistenza comprende tecniche usate dal malware per sopravvivere ai riavvii e restare nascosto sui sistemi, spesso imitando processi o aggiornamenti legittimi.




