Il cyber crime ha trovato un nuovo approccio per la consegna di malware: falsi allarmi su certificati di sicurezza obsoleti, completi di un pulsante che consiglia “Installa” e che punta al malware. I venditori di malware alla base di questo schema contano ovviamente sul fatto che gli utenti non sappiano esattamente cosa sia un certificato di sicurezza e che non siano responsabili di mantenerlo aggiornato, ma soprattutto di sfruttare il desiderio degli utenti di proteggersi online.
Indice degli argomenti
Lo schema d’attacco
Una società di sicurezza informatica questa settimana ha riferito che i suoi ricercatori hanno recentemente osservato che molti utenti (imprese e privati cittadini) navigando in vari siti Web sono stati accolti con un avvertimento sulla scadenza del certificato di sicurezza del sito e sono stati invitati a scaricarne uno aggiornato. Gli utenti che hanno abboccato all’esca ( e sono tanti) hanno finito per scaricare malware sui loro sistemi. La campagna sembra essere iniziata verso la metà di gennaio quando i primi ricercatori di cyber security hanno riscontrato alcuni cyber aggressori tentare distribuire malware sotto forma di un aggiornamento di sicurezza di un sito web. Il metodo è una leggera svolta su un approccio che la criminalità informatica ha impiegato a lungo nascondendo malware in software falsi, aggiornamenti del browser e installazioni Adobe Flash.
In questo caso gli attori malevoli hanno installato tali aggiornamenti su siti legittimi e hanno tentato di indurre gli utenti a scaricarli con vari pretesti, oppure li hanno indotti a navigare su siti che ospitano gli aggiornamenti dannosi. Lo schema di attacco è così composto: gli utenti di siti Web legittimi ma infetti vengono accolti con una notifica tramite un iframe in merito al certificato di sicurezza del sito non aggiornato. In informatica iframe è un elemento HTML. Si tratta infatti di un frame “ancorato” all’interno della pagina generalmente utilizzato per mostrare il contenuto di una pagina web, o di una qualsivoglia risorsa, all’interno di un riquadro in una seconda pagina principale.
I contenuti dell’iframe in questa campagna d’ attacco provengono da una risorsa di terze parti e sono semplicemente sovrapposti nella parte superiore della pagina originale. Di conseguenza, la barra degli URL mostra ancora l’indirizzo legittimo del sito web compromesso. Anche l’overlay iframe ha esattamente le stesse dimensioni della pagina, quindi gli utenti non hanno un modo semplice di procedere al sito se decidessero di ignorare la falsa notifica. Poiché l’indirizzo elencato nell’iframe è, in effetti, il vero indirizzo del sito Web, l’istinto naturale per gli utenti è quello di installare il certificato raccomandato in modo che possano visualizzare il contenuto che desiderano
Che cosa si rischia di scaricare
L’obiettivo dei cyber criminali è iniettare Mokes e il malware Buerak. Mokes è una backdoor macOS / Windows un po datata ma sempre molto efficace. Quando eseguito sul computer dell’utente, il malware della famiglia Backdoor.Win32.Mokes scarica altri malware (come Trojan-Ransom.Win32.Cryptodef, noto anche come Cryptowall). Il Mokes si distingue per la sua architettura modulare, che consente al malware di ottenere funzionalità aggiuntive. Questi moduli consentono al malware di eseguire le seguenti azioni su un computer infetto:
- Spoof il file Hosts
- Ruba le password degli utenti.
- Intercettare i dati immessi dall’utente in un browser Web.
- Installa il codice shell sul computer dell’utente.
Buerak è invece un Trojan basato su Windows in grado di eseguire codice, manomettere i processi in esecuzione, rubare il contenuto, mantenere la persistenza attraverso le chiavi del registro e rilevare varie tecniche di analisi e sandbox. Buerak potrebbe quindi essere utilizzato per diffondere (installare) ransomware, keylogger, trojan di accesso remoto (RAT), minatori di criptovaluta, alcuni malware bancari e così via.
I consigli per far fronte al problema
Una falsa notifica di certificato scaduta costituisce l’ultimo metodo utilizzato dagli attori del malware che desiderano nascondere i loro payload. Certamente non sarà l’ultimo. Detto questo, nel dubbio evitare aggiornamenti di sicurezza che appaiono mentre si sta navigando un sito web legittimo o meno. Le organizzazioni invece, soprattutto le PMI, dovrebbero considerare di investire in una soluzione che esamina il comportamento sospetto dei file in un ambiente in quarantena e fornisce report dettagliati sulle modifiche rilevanti del sistema.
