Gli hacker vietnamiti usano falsi avvisi di copyright per diffondere Lone None Stealer

Un gruppo di hacker vietnamita noto come Lone None sta conducendo una campagna di truffe online attiva almeno da novembre 2024. La campagna si concentra sul furto di informazioni personali e finanziarie, in particolare di criptovalute.

La società di ricerca sulla sicurezza informatica Cofense Intelligence ha monitorato i movimenti di questo autore della minaccia e ha condiviso la sua analisi con Hackread.com.

Gli attacchi iniziano con un'e-mail falsa contenente un avviso legale ufficiale da parte di diversi studi legali in tutto il mondo, che intimano al destinatario di rimuovere contenuti protetti da copyright dal proprio sito web o dai social media, a volte menzionando persino il vero account Facebook del destinatario.

Questi messaggi vengono inviati in circa dieci lingue diverse, tra cui inglese, francese, tedesco e cinese, il che suggerisce l'obiettivo dei criminali di espandere il loro raggio d'azione. Le email contengono un link che, se cliccato, porta a un archivio scaricabile (simile a un file ZIP). Questo archivio contiene il malware, abilmente camuffato da documenti di prova come PDF o PNG.

Per eseguire il malware, gli aggressori utilizzano il caricamento laterale delle DLL , che consente loro di abusare di un programma legittimo e firmato (come un eseguibile attendibile di un lettore Microsoft Word o PDF) per eseguire segretamente il loro codice dannoso e aggirare i controlli di sicurezza standard.

La campagna utilizza due tipi di ladri di informazioni: Pure Logs Stealer e il più recente Lone None Stealer (noto anche come PXA Stealer). Pure Logs ruba un'ampia gamma di dati sensibili, tra cui password, numeri di carte di credito, cookie di sessione e file di criptovalute locali salvati nei browser e nei computer delle vittime.

Il Lone None Stealer, invece, si concentra sul furto di criptovalute . Monitora gli appunti della vittima (il luogo in cui il testo copiato viene temporaneamente memorizzato) e, se viene copiato un indirizzo di un portafoglio crittografico, il malware lo sostituisce silenziosamente con l'indirizzo del criminale. Ciò significa che se una vittima tenta di inviare denaro copiando e incollando un indirizzo di portafoglio, i fondi vanno direttamente all'hacker.

Nel suo post sul blog , Cofense Intelligence ha osservato che Lone None Stealer è stato trovato in circa un terzo (29%) di tutti i recenti rapporti che coinvolgono il vecchio Pure Logs Stealer da giugno 2025, il che indica il suo crescente utilizzo.

Questa truffa si avvale di una tecnica di staging unica, in cui l'autore nasconde l'indirizzo per la fase successiva dell'attacco all'interno della pagina del profilo di un bot di Telegram . Inoltre, Lone None Stealer utilizza la rete Telegram come canale di comando e controllo (C2) primario, inviando rapidamente tutti i dati raccolti agli hacker.

Poiché questa truffa fa leva direttamente sul timore di una controversia legale urgente, è importante riconoscere i segnali di un'email falsa. Non cliccare mai su link o scaricare file da fonti inaspettate, poiché questa semplice precauzione rimane la migliore protezione contro questo tipo di truffe.