Finto wallet simula un aggiornamento di Electrum, in realtà ruba Bitcoin

Questi li prendo io...

Qualche giorno fa è stato scoperto un attacco insolito contro gli utilizzatori di un wallet Bitcoin chiamato Electrum. Gli attaccanti hanno inizialmente creato sul network un grande numero di server per aumentare la probabilità che i normali utilizzatori del wallet vi si collegassero per veicolare le loro transazioni di criptovaluta.

Incremento anomalo dei server Electrum, dal forum su github
Incremento anomalo dei server Electrum, dal forum su github

Dopodiché essi hanno iniziato a far fallire intenzionalmente le transazioni, inserendo un messaggio di errore che invitava gli utenti di Electrum a scaricare una nuova versione del wallet da una URL su Github.

Il messaggio di errore che invita l'utente a scaricare una nuova versione del wallet
Il messaggio di errore che invita l’utente a scaricare una nuova versione del wallet

Purtroppo tale messaggio rimanda a una versione malevola del wallet, un fork non autorizzato anch’esso ospitato su Github. Una volta installato, il wallet ruba i Bitcoin della vittima trasferendoli a indirizzi controllati dagli attaccanti.

Gli utenti sono stati portati a credere al messaggio di errore perché proveniva direttamente dal client, di conseguenza il rischio di phishing non era esattamente in cima ai loro pensieri.

Il problema nasce dal fatto che il wallet Electrum consentiva ai server di mostrare agli utenti messaggi rich-text direttamente attraverso il wallet, permettendo in buona sostanza agli operatori dei server di scrivere qualsiasi cosa all’interno di un programma – il client – che gli utenti ritenevano fidato. Gli hacker hanno sfruttato questa leggerezza per indurre gli utenti a scaricare il finto wallet mascherandolo da aggiornamento.

Dalla versione 3.3.2 di Electrum i messaggi non sono più in rich-text, e oggi il wallet malevolo su Github non esiste più, ma anche permettendo semplici messaggi di testo il problema protrebbe ripetersi.

Emblematico il commento di un utente, che afferma di aver perso tutti i suoi Bitcoin dopo aver scaricato e installato il finto wallet.

Il commento dell'utente che ha perso tutti i Bitcoin
Il commento dell’utente che ha perso tutti i Bitcoin
Ho iniziato a interessarmi di cybersecurity dal 1989, quando ho "trovato" il mio primo virus. Dal 1992 me ne occupo professionalmente: per oltre un decennio come collaboratore di testate specializzate (fra cui PC Professionale), poi come consulente del Ministro delle Comunicazioni su aspetti di sicurezza delle reti, quindi con collaborazioni sui medesimi temi con Telespazio (gruppo Finmeccanica). Oggi mi interesso di nuove tecnologie (AI) e cyber warfare. Sono socio fondatore del chapter italiano di Internet Society e membro dell'Associazione Italiana esperti in Infrastrutture Critiche. Dal 2006 lavoro presso ESET Italia, dove ricopro il ruolo di Operations Manager. Il blog è personale.