I malware ‘intelligenti’

Gli attacchi ai sistemi informatici sono sempre esistiti e probabilmente lo saranno sempre. Si costruiscono nuovi malware e di conseguenza si aggiornano i software antivirus. Si creano nuovi malware più ‘intelligenti’ e quindi gli antivirus si adeguano. Un po’ come la caccia del gatto col topo.

Lo scopo finale di tutti gli attacchi informatici è ovviamente quello di infettare i dispositivi, per poi agire di conseguenza. Prima però i cybercriminali devono trovare una porta di ingresso (backdoor). I ricercatori di VirusTotal hanno pubblicato un interessante report che illustra le tecniche più utilizzate dagli autori dei malware per ingannare gli utenti e aggirare le protezioni degli antivirus. Per fortuna, nonostante ciò, le principali soluzioni di sicurezza riescono comunque a rilevare e bloccare il pericolo.

Il report, basato sui file caricati dagli utenti (circa 2 milioni al giorno) nel primo semestre del 2022, descrive alcuni escamotage sfruttati dai cybercriminali per colpire le ignare vittime. Una delle tecniche più semplice ma ingegnosa prevede l’uso di domini legittimi per la distribuzione del malware. In questo modo è possibile aggirare la protezione dei firewall, utilizzare le risorse dell’host e guadagnare la fiducia degli utenti.

VirusTotal ha scoperto circa 2,5 milioni di file sospetti scaricati da 101 domini nella top 1000 di Alexa. Il dominio più usato per la distribuzione di malware è quello di Discord, seguito da Squarespace e Amazon Web Services.

Un altro trucco molto diffuso è firmare i malware (sia eseguibili, che librerie Windows) con certificati legittimi rubati alle aziende. Tra i casi più noti c’è l’attacco effettuato dal gruppo Lapsus$ (la famigerata cybergang), con un certificato di NVIDIA. VirusTotal ha rilevato oltre un milione di file firmati e l’87% di essi aveva un certificato valido.

Uno dei trucchi di ingegneria sociale più banale ma anche popolare è far credere agli utenti che il malware sia un software autentico, mostrando la corrispondente icona. Tra le applicazioni più ‘imitate’ ci sono Skype, Adobe Acrobat, 7-Zip, VLC, CCleaner e TeamViewer. Similmente viene mostrata una favicon legittima per i siti infetti. In questo caso, i siti più imitati sono WhatsApp, Instagram e Facebook. La favicon è il disegnino che appare sulla scheda del browser che stiamo usando per navigare, accanto al nome dell pagina.

Infine, i cybercriminali inganno gli utenti nascondendo il malware negli installer di software legittimi. Ciò avviene soprattutto con software gratuiti che vengono distribuiti tramite siti di terze parti. Tra i più noti ci sono Chrome, Firefox, Zoom, Telegram e ProtonVPN. L’applicazione legittima viene mostrata sullo schermo, mentre il malware viene eseguito in background.

Ma quindi come prevenire e proteggersi?

Molto semplice, i software devono essere sempre scaricati dai siti ufficiali. Evitare assolutamente i torrent con crack e keygen. Inoltre, prima e dopo dell’installazione deve essere effettuata una scansione con un antivirus aggiornato.