la nuova minaccia

Malware, attenzione ai falsi allarmi sui certificati di sicurezza

I criminali informatici hanno trovato il modo di recapitare i malware con lo stratagemma di falsi allarmi su certificati di sicurezza vecchi: vediamo i consigli per evitare problemi

06 Mar 2020
V
Nicola Vanin

Data Governance & Information Security Senior Manager


Il cyber crime ha trovato un nuovo approccio per la consegna di malware: falsi allarmi su certificati di sicurezza obsoleti, completi di un pulsante che consiglia “Installa” e che punta al malware. I venditori di malware alla base di questo schema contano ovviamente sul fatto che gli utenti non sappiano esattamente cosa sia un certificato di sicurezza e che non siano responsabili di mantenerlo aggiornato, ma soprattutto  di sfruttare il desiderio degli utenti di proteggersi online.

Lo schema d’attacco

Una società di sicurezza informatica questa settimana  ha riferito che i suoi ricercatori hanno recentemente osservato che  molti utenti (imprese  e privati cittadini) navigando in  vari siti Web sono stati accolti con un avvertimento sulla scadenza del certificato di sicurezza del sito e sono stati invitati a scaricarne uno aggiornato. Gli utenti che hanno abboccato  all’esca ( e sono tanti)  hanno finito per scaricare malware sui loro sistemi. La campagna sembra essere iniziata verso la metà di gennaio quando i primi  ricercatori di cyber security  hanno riscontrato  alcuni cyber aggressori tentare distribuire malware sotto forma di un aggiornamento di sicurezza di un  sito web. Il metodo è una leggera svolta su un approccio che la criminalità  informatica ha  impiegato a lungo nascondendo malware in software falsi, aggiornamenti del browser e installazioni Adobe Flash.

In questo caso gli attori malevoli  hanno installato tali aggiornamenti su siti legittimi e hanno tentato di indurre gli utenti a scaricarli con vari pretesti, oppure li hanno indotti a navigare su siti che ospitano gli aggiornamenti dannosi. Lo schema di attacco è così composto: gli utenti di siti Web legittimi ma infetti vengono accolti con una notifica tramite un iframe in merito al certificato di sicurezza del sito non aggiornato. In informatica iframe  è un elemento HTML. Si tratta infatti di un frame “ancorato” all’interno della pagina generalmente utilizzato per mostrare il contenuto di una pagina web, o di una qualsivoglia risorsa, all’interno di un riquadro in una seconda pagina principale.

I contenuti dell’iframe in questa campagna d’ attacco provengono da una risorsa di terze parti e sono semplicemente sovrapposti nella parte superiore della pagina originale. Di conseguenza, la barra degli URL mostra ancora l’indirizzo legittimo del sito web compromesso. Anche l’overlay iframe ha esattamente le stesse dimensioni della pagina, quindi gli utenti non hanno  un modo semplice di procedere al sito se decidessero di ignorare la falsa notifica. Poiché l’indirizzo elencato nell’iframe è, in effetti, il vero indirizzo del sito Web, l’istinto naturale per gli utenti è quello di installare il certificato raccomandato in modo che possano visualizzare il contenuto che desiderano

Che cosa si rischia di scaricare

WEBINAR
Come (e perché) garantire la security by default con IT ibrido e multicloud
Cloud
Sicurezza

L’obiettivo dei cyber criminali è iniettare Mokes e il  malware Buerak. Mokes è una backdoor macOS / Windows un po datata ma sempre molto efficace. Quando eseguito sul computer dell’utente, il malware della famiglia Backdoor.Win32.Mokes scarica altri malware (come Trojan-Ransom.Win32.Cryptodef, noto anche come Cryptowall). Il Mokes  si distingue per la sua architettura modulare, che consente al malware di ottenere funzionalità aggiuntive. Questi moduli consentono al malware di eseguire le seguenti azioni su un computer infetto:

  • Spoof il file Hosts
  • Ruba le password degli utenti.
  • Intercettare i dati immessi dall’utente in un browser Web.
  • Installa il codice shell sul computer dell’utente.

Buerak è invece  un Trojan basato su Windows in grado di eseguire codice, manomettere i processi in esecuzione, rubare il contenuto, mantenere la persistenza attraverso le chiavi del registro e rilevare varie tecniche di analisi e sandbox. Buerak potrebbe quindi  essere utilizzato per diffondere (installare) ransomware, keylogger, trojan di accesso remoto (RAT), minatori di criptovaluta, alcuni malware bancari e così via.

I consigli per far fronte al problema

Una falsa notifica di certificato scaduta costituisce l’ultimo metodo utilizzato dagli attori del malware che desiderano nascondere i loro payload. Certamente non sarà l’ultimo. Detto questo, nel dubbio  evitare aggiornamenti di  sicurezza che appaiono mentre si sta navigando un sito web legittimo o meno. Le organizzazioni invece, soprattutto le PMI, dovrebbero considerare di investire in una soluzione che esamina il comportamento sospetto dei file in un ambiente in quarantena e fornisce report dettagliati sulle modifiche rilevanti del sistema.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5