Netcrook Logo
👤 LOGICFALCON
🗓️ 19 Mar 2026  

Furto di criptovalute nell’ombra: come il malware “SnappyClient” resta sempre un passo avanti

Una nuova generazione di impianti C2 furtivi prende di mira wallet crypto e credenziali, eludendo anche le difese digitali più affilate.

Nel gioco del gatto e del topo in continua evoluzione tra criminali informatici e difensori, un nuovo avversario sta facendo parlare di sé in silenzio. Soprannominato “SnappyClient”, questo impianto di comando e controllo (C2) realizzato in C++ non è il solito borseggiatore digitale: è un set di strumenti sofisticato progettato per mimetizzarsi, persistere ed esfiltrare i tuoi dati più preziosi - soprattutto gli asset in criptovalute - senza mai scoprire le proprie carte.

I ricercatori tecnici di Zscaler ThreatLabz hanno scoperto SnappyClient alla fine dello scorso anno, e la loro analisi si legge come un cyber-thriller. Questo malware non si limita a intrufolarsi nella macchina della vittima: evita attivamente di farsi notare, impiegando molteplici livelli di elusione delle difese. Aggirando l’AMSI di Microsoft ed effettuando chiamate dirette al sistema operativo, SnappyClient può scivolare oltre molte misure antivirus tradizionali. Arriva persino a iniettare il proprio codice in processi legittimi in esecuzione, diventando parte del paesaggio digitale.

Il vettore di infezione iniziale è altrettanto astuto. In una campagna, utenti ignari che visitavano un sito falso che imitava il colosso spagnolo delle telecomunicazioni Telefonica si sono ritrovati a scaricare automaticamente HijackLoader - un loader malware modulare che poi ha decrittato e installato SnappyClient. Altri attacchi hanno sfruttato trucchi di social engineering come ClickFix, a dimostrazione che gli aggressori sono abili nell’adescare le vittime attraverso canali molteplici e in continua evoluzione.

Una volta dentro, SnappyClient stabilisce persistenza, manipolando le chiavi del registro di Windows o impostando attività pianificate, assicurandosi di sopravvivere ai riavvii e alla manutenzione ordinaria del sistema. Il suo set di comandi è formidabile: può fare screenshot, registrare i tasti premuti, raccogliere credenziali e cookie da tutti i principali browser e persino aprire una shell remota per l’accesso diretto dell’attaccante. Forse la cosa più inquietante è che l’impianto può essere aggiornato al volo, consentendo ai suoi operatori di cambiare bersagli e tattiche secondo necessità - rendendolo perfetto per spionaggio o furti di lungo periodo.

Ciò che distingue SnappyClient è la sua capacità di operare inosservato per periodi prolungati, in netto contrasto con gli attacchi ransomware rumorosi. Cifrando tutte le comunicazioni con ChaCha20-Poly1305, rende quasi ciechi gli strumenti di monitoraggio di rete. La modularità e la furtività del malware richiamano altri famigerati framework C2 come Havoc e Sliver, che hanno permesso ai criminali informatici di mantenere un controllo persistente e occulto su sistemi compromessi in tutto il mondo.

Mentre gli operatori di SnappyClient continuano ad affinare le loro tattiche, i difensori affrontano una sfida scoraggiante: combattere un avversario che si adatta sempre, si nasconde sempre ed è sempre affamato di oro digitale. Per organizzazioni e singoli individui, la lezione è chiara - quando si tratta di proteggere i propri asset crypto, vigilanza e sicurezza a più livelli sono più cruciali che mai.

WIKICROOK

  • Comando: Un comando è un’istruzione inviata a un dispositivo o a un software, spesso da un server C2, che lo dirige a eseguire azioni specifiche, talvolta per scopi malevoli.
  • Impianto: Un impianto è uno strumento software o hardware nascosto usato dagli attaccanti per accedere, monitorare o controllare segretamente un sistema o un dispositivo bersaglio.
  • Antimalware Scan Interface (AMSI): AMSI è un’interfaccia Microsoft che consente agli strumenti di sicurezza di analizzare script e memoria alla ricerca di malware, migliorando il rilevamento delle minacce negli ambienti Windows.
  • Persistenza: La persistenza comprende tecniche usate dal malware per sopravvivere ai riavvii e restare nascosto sui sistemi, spesso imitando processi o aggiornamenti legittimi.
  • ChaCha20: ChaCha20 è un algoritmo di crittografia veloce e sicuro che rimescola i dati per proteggerli da accessi non autorizzati, ampiamente utilizzato nella cybersecurity moderna.
Crypto Heist SnappyClient Malware
LOGICFALCON LOGICFALCON
Log Intelligence Investigator
← Back to news