Si nasconde tra i video pirata caricati sulla famosa piattaforma The Pirate Bay e infetta i computer delle sue vittime appena mettono in download un file torrent contraffatto. E così poi le inonda di pubblicità e con qualche stratagemma anche tenta di rubare soldi.
A scoprire, per caso, il nuovo malware dei file torrent è stato un anonimo ricercatore (che si firma su Twitter col nickname 0xffff0800) mentre, per l’appunto, provava a scaricare un film pirata dalla piattaforma The Pirate Bay.
Al termine del download, però, il ricercatore si è ritrovato sul proprio hard disk un file in formato .LNK, quello utilizzato di solito per creare un file di collegamento o una “scorciatoia” sul desktop di Windows. Tale collegamento, però, non puntava al film pirata, ma ad un comando PowerShell. Incuriosito, il ricercatore ha analizzato il file sospetto mediante l’antivirus on-line VirusTotal.
Il risultato della scansione ha segnalato la presenza di un campione del codice malevolo di CozyBear, un trojan ricollegabile all’omonimo gruppo di hacker russi conosciuto anche con altri nomi: APT29, CozyDuke, CozyCar, Grizzly Bear. Si tratta dello stesso gruppo criminale già salito agli onori della cronaca nel 2015 a causa di attacchi mirati contro il Partito Democratico americano durante le ultime elezioni presidenziali.
Una scansione con il tool on-line VirusTotal ha evidenziato la presenza di un campione del codice malevolo di CozyBear all’interno del malware dei file torrent.
Indice degli argomenti
Il malware dei file trojan: analisi dell’attacco
In realtà, il codice malevolo del malware dei file torrent è solo una copia non completa di quello del trojan CozyBear dal quale si differenzia per alcune tecniche di infezioni del tutto particolari.
Innanzitutto, analizzando il sample del virus si scopre che la prima operazione compiuta è quella di eseguire un comando PowerShell che, a sua volta, attiva un collegamento con un server Command and Control gestito dai criminal hacker necessario per reindirizzare la connessione ed eseguire un altro comando di tipo PowerShell. Operazioni, queste, che servono per “nascondere” le azioni malevoli del malware e al termine delle quali viene eseguito il download di due file eseguibili identici tra loro che, con nomi differenti, vengono archiviati nella cartella C:\Program Files (x86)\SmartData\.
Solo a questo punto della catena infettiva, il malware dei file torrent inizia la sua azione malevola vera e propria.
La prima operazione che compie è la disattivazione della protezione di Windows Defender, l’antivirus integrato nelle ultime versioni di Windows e attivo in background come impostazione predefinita. Inoltre, se riconosce che l’utente utilizza Firefox come browser provvede a installare l’estensione Firefox Protection la cui funzione è quella di iniettare contenuti creati ad hoc dai criminal hacker all’interno di pagine Web legittime. Quindi scarica da un database FireBase alcuni codici JavaScript che servono per modificare le pagine Web. In questo modo il malware riesce, ad esempio, ad alterare i risultati di ricerca di Google mostrando per primi quelli promossi dagli aggressori.
Ad esempio, eseguendo una ricerca con parola chiave “spyware”, il primo risultato sarà il link ad una soluzione di sicurezza chiamata TotalAV spacciata come il miglior antivirus attualmente sul mercato. In realtà, l’home page di questo antivirus sembra essere solo un’altra trappola per la malcapitata vittima: TotalAv si presenta come gratis ma ha molte funzioni a pagamento (che non vale la pena pagare).
Il malware, inoltre, riesce a manipolare il browser dell’utente per iniettare codice contraffatto nelle pagine dei motori di ricerca Google e Yandex allo scopo di visualizzare inserzioni pubblicitarie.
Ecco come potrebbe apparire l’home page di Google in seguito all’infezione del malware dei file torrent: in basso è visibile un banner pubblicitario.
Nel caso in cui la vittima si collega all’home page di Wikipedia, invece, il malware dei file torrent è in grado di visualizzare falsi appelli alla donazione per il sostentamento della famosa enciclopedia on-line, rimandando ai due indirizzi utili per il trasferimento di denaro direttamente sui conti Bitcoin ed Ethereum di Wikipedia. È inutile dire che i wallet accessibili da questi due indirizzi sono in realtà gestiti direttamente dai criminal hacker ai quali ovviamente vanno tutte le eventuali donazioni effettuate.
Ecco l’home page contraffatta di Wikipedia, con il finto appello alla donazione per il sostentamento dell’enciclopedia on-line.
Proprio nella realizzazione del falso appello alla donazione, però, i criminal hacker hanno compiuto un passo falso che potrebbe far scattare un campanello di allarme nelle possibili vittime del malware dei file torrent. Per indicare l’indirizzo del wallet Ethereum, infatti, hanno erroneamente scritto “Ethernet address”: un banale errore del correttore automatico in grado di smascherare una truffa altrimenti ben congeniata.
L’ultima funzione malevola del malware dei file trojan è quella di monitoraggio del browser della vittima: ogni qualvolta viene visitata una pagina Web contenente l’indirizzo di un wallet Bitcoin o Ethereum, questo viene sostituito da uno gestito dai criminal hacker.
I consigli per difendersi dal malware dei file torrent
L’analisi del nuovo malware mette in evidenza come i criminal hacker riescano sempre ad inventarsi nuove metodologie, sempre più sofisticate, per la diffusione dei loro codici malevoli. Il caso in esame, poi, è interessante per alcuni particolari aspetti tecnici, come ci racconta Marco Ramilli, Founder & CEO di Yoroi: “prelevare file da circuiti peer-to-peer significa scaricare file distribuiti tra vari Seeder/Leecher. Tali peers appartengono, per definizione, ad entità differenti (essendo distribuiti) e spesso non facilmente riconducibili ad una entità fisica e/o giuridica. Essi possono, come nel caso in analisi, fingere di offrire il file “annunciato” ma successivamente possono propagare un file differente dal precedente. In altre parole, un peer attaccante può facilmente illudere un peer vittima affermando di essere in possesso di un file di interesse ma contrariamente offrire un file opportunamente modificato. Se il file offerto, come nel caso analizzato, fosse un file malevolo, l’attaccante si ritroverebbe con il 50% della distribuzione effettuata (50% caricare file infetto e 50% avviare file infetto)”.
L’analisi di Ramilli continua sottolineando come “spesso la fase piu delicata di un attacco è proprio nella distribuzione di file infetti, ma attraverso la tecnica usata dal malware dei file torrent l’attaccante trova un modo semplice di propagare il proprio artefatto in modalità opportunistica. Pertanto, i malware propagati attraverso queste reti di distribuzione non sono tipicamente da considerarsi come attacchi “mirati” ma al contrario come attacchi opportunistici attribuibili alla criminalità”.
“Il network (o piu comunemente Internet) è considerabile una commodity: sempre presente e sempre performante”, continua Ramilli. “Questo lo si puo dedurre dall’assenza di stupore che esso genera. Venti anni fa restavamo stupiti dalla possibilita di avere Internet in ufficio, oggi non consideriamo accettabile la sua assenza alla pari di “luce”, “acqua” e “gas”. Proprio per questo è necessario utilizzare “Internet” sia con regole formali come per esempio: cambio password obbligato, navigazione costretta da proxy, controllo periodico da parte dell’IT, presenza di antimalware ecc.; sia con buonsenso oggettivo, difficilmente regolamentabile ma espressamente richiesto. Il buonsenso è strettamente necessario là dove il bene è condiviso. In una grande azienda o in un piccolo ufficio, la “rete” è un bene condiviso e se un PC viene infettatto puo mettere a repentaglio l’intera rete”.
Quali sono, quindi – chiediamo a Ramilli – i consigli per difendersi da questo nuovo tipo di minaccia? “Scaricare un torrent, così come non porre la giusta attenzione ad un allegato di posta elettronica oppure come navigre compulsivamente su siti di dubbia reputazione, può mettere a repentaglio la rete comune. Per questo è necessario buonsenso e regolamentazione. Il mio personale suggerimento, in questa fase, è quello di strutturare le difese e le protezioni aziendali implementando regole (policy) restrittive ed adottando strumenti contemporanei per la difesa aziendale. Contemporaneamente, adottare corsi di formazione interni per innalzare il livello di consapevolezza sul bene comune chiamato Internet. Oggi credo che tutti sappiano cosa sia una minaccia informatica e come essa venga propagata, ma credo che quello che manca è una giusta consapevolezza dell’utilizzo del bene comune. Se il tuo PC viene infettato, non è un problema solo tuo, ma è un problema della tua comunità”.
Fabrizio Croce, Area Director South Europe WatchGuard Technologies, ci fa notare invece come “la fantasia nella trasmissione del malware ormai raggiunge livelli elevati. Inviare uno script al posto di un film scaricato magari illegalmente via torrent non è una novità assoluta ma è l’obiettivo quello interessante: il wallet della cryptomoneta”.
“Come nel classico gioco di guardia e ladri”, continua Croce, “anche chi si occupa di sicurezza informatica deve essere pronto a reagire con contromisure adeguate. Ormai un singolo livello di difesa non è più sufficiente, ma bisogna creare diversi baluardi dove, come in un imbuto, far transitare il malware e stringere sempre di più verso una tecnologia più sofisticata di sicurezza. In questo caso, in attesa che gli antivirus si aggiornino, solo uno strumento atto a fare una analisi comportamentale di quanto lo script stia facendo permette di rilevarlo e bloccarlo. A questo scopo, tecnologie basate sia su Sandboxing sia sulle ultime novità in ambito di Intelligenza Artificiale e Machine Learning devono e dovranno essere sempre presenti in un bouquet di security”.
Ecco, infine, anche un semplice consiglio pratico per difendersi dal malware dei file torrent: ricordiamoci di attivare la funzione di visualizzazione delle estensioni dei file. In questo modo possiamo controllare subito se eventuali file scaricati da Internet sono stati modificati o corrotti. Per farlo, in Windows 10 è sufficiente aprire Esplora file e, dal menu Visualizza, attivare l’opzione Estensioni nomi file.
