Attenzione all’uso di software pirata, perché possono nascondere pericolose backdoor di accesso per i cyber criminali: Bitdefender ne ha scoperto la pericolosa dinamica nei due software Microsoft Office e Adobe Photoshop CC disponibili in versioni “crackate” (non autorizzate), disponibili fin dal 2018.
La serie di attacchi sfrutta i due software per compromettere computer, dirottare portafogli di criptovaluta ed esfiltrare informazioni tramite la rete TOR. Il furto di dati personali e di denaro è l’obiettivo di questo genere di attacchi che dal 2018 fino ad oggi ha colpito anche utenti e aziende italiane oltre ad essere diffuso a livello mondiale.
L’uso di software pirata è notoriamente vietato e illegale e non dovrebbe costituire un mezzo per privati e aziende per eludere i controlli di sicurezza di cui sono dotati i software in forma legale. Perché oltre al rischio di sanzioni e denunce, casi come questo evidenziano rischi aggiuntivi.
Indice degli argomenti
Backdoor in Office e Photoshop CC: la minaccia
Il comportamento malevolo è stato analizzato ed evidenziato dai ricercatori Eduard Budaca e Bogdan Botezatu di Bitdefender, che hanno scoperto una serie di attacchi che sfruttano versioni pirata di strumenti per ufficio e di software di editing di immagini, ovvero Microsoft Office e Adobe Photoshop CC.
Gli attacchi sono iniziati nella seconda metà del 2018 e sono tuttora attivi secondo le analisi della threat intelligence del vendor di sicurezza.
I software pirati di Microsoft Office e Adobe Photoshop CC, che potrebbero essere utilizzati da utenti privati e aziende, rappresentano una potente e pericolosa backdoor per infettare gli altri dispositivi della stessa rete aziendale permettendo così ai criminali informatici di accedervi, prenderne totalmente il controllo e rubare dati sensibili, informazioni e denaro.
In particolare, per circa tre anni, i criminali digitali hanno rubato criptovaluta dai portafogli Monero delle vittime.
Una volta eseguito, il codice del software pirata rilascia un’istanza di ncat.exe (uno strumento legittimo per inviare dati grezzi sulla rete) e un proxy TOR. I file proxy Netcat e TOR vengono rilasciati su disco come %syswow64%/nap.exe o %syswow64%/ndc.exe per il primo e come % syswow64/tarsrv.exe per il secondo.
Inoltre, un file batch viene rilasciato in %syswow64%/chknap.bat” (per nap.exe) e %syswow64%/nddcf.cmd (per ndc.exe). il file batch contiene la riga di comando per il componente Ncat, coinvolgendo le porte da 8000 a 9000 su un dominio “.onion”.
Gli strumenti collaborano fra loro per creare una backdoor che comunica tramite TOR con il suo centro di comando e controllo: il binario “ncat” utilizza la porta di ascolto del proxy TOR (`–proxy 127.0.0.1: 9075`) e utilizza il parametro standard “–exec”, che consente l’invio di tutti gli input dal client all’applicazione e l’invio delle risposte al client tramite il socket (comportamento della shell inversa).
Il comportamento malevolo del software pirata crea meccanismi di persistenza per il file proxy TOR e il binario ncat sulla macchina con un servizio e un’attività pianificata che vengono eseguiti rispettivamente ogni 45 minuti. I ricercatori hanno suggerito come sia probabile che la backdoor venga utilizzata in modo interattivo da un operatore umano anziché inviare richieste automatizzate alle vittime.
Tutti gli indici di compromissione come path e tipi di file, codici hash e domini sono elencati e pubblicati sul blog dei Bitdefender Labs.
Backdoor in Office e Photoshop CC: possibili conseguenze
Alcune delle azioni osservate come conseguenza malevola dell’utilizzo delle copie pirata di Office e Photoshop CC sono le seguenti:
- presenza di backdoor tramite la quale il criminale informatico assume il pieno controllo del dispositivo e può ordinargli di fare qualsiasi cosa: rubare password, file locali, codici PIN o qualsiasi altra credenziale sensibile;
- esfiltrazione di file: Ncat può ricevere file locali da inviare tramite TOR ai centri di comando e controllo;
- esecuzione del client BitTorrent: i ricercatori evidenziano attività di utilizzo dei client BitTorrent per esfiltrare i dati;
- disattivazione del firewall per la preparazione dell’esfiltrazione dei dati;
- furto dei wallet Monero tramite il client CLI legittimo “monero-wallet-cli.exe”. In sostanza, se l’attaccante individua un wallet Monero memorizzato sul dispositivo, sarà in grado di assumerne il controllo e di impadronirsi quindi delle criptovalute in esso contenute;
- furto dei profili utente del browser Firefox. ll furto del profilo dell’utente include le password di accesso memorizzate, la cronologia di navigazione, i segnalibri e i cookie di sessione registrati. Prima dell’esfiltrazione, gli aggressori archiviano la cartella del profilo con 7zip per generare un file che contiene tutto;
- hijacking dei cookie delle sessioni di navigazione. I cookie di sessione sono importanti perché chi se ne impadronisce può semplicemente importarli all’interno del proprio browser e venire così direttamente connesso ai servizi internet dell’utente a cui li ha rubati, senza domande relative a password di accesso o autentificazione a due fattori.
La lista dei pericoli può non essere esaustiva perché, una volta preso il controllo completo del dispositivo violato, i criminali possono adattare le campagne in base ai loro interessi contestuali sfruttando le possibilità e i software presenti sul device stesso.
Diffusione e rischi dei software pirata
L’uso dei software pirata, ovvero dei software cosiddetti “crack” è iniziato dall’avvento dei software di tipo commerciale. Eseguire il crack di un software significa modificarlo per rimuovere o disabilitare le caratteristiche non desiderate, soprattutto, per esempio, quelle relative alla protezione dalla copia.
L’uso di questi software si è diffuso nel tentativo di ridurre i costi delle licenze eludendo quindi i controlli di licensing.
Facili da usare e ampiamente disponibili su siti Web di condivisione specializzati, i software “crackati” consentono alle persone di aggirare le protezioni commerciali nei software più diffusi e di utilizzare le applicazioni senza doverle pagare.
Tuttavia, oltre alle implicazioni legali dell’uso non autorizzato del software (la produzione, vendita e diffusione di software pirata è un’attività illegale, perseguita dalla legge), i rischi per la sicurezza informatica sono gravi.
L’installazione di un antivirus può essere di qualche supporto, ma naturalmente questa modalità di attacco rappresenta una ragione in più per evitare di usare software in versione “crackata”. Anche se può essere allettante utilizzare software “piratati”, per risparmiare a livello economico, si rischia di compromettere totalmente i propri device e soprattutto i propri dati. A livello personale la prassi dei software pirata andrebbe evitata, ma a livello aziendale è un comportamento irresponsabile e doppiamente dannoso.
L’importanza dei sistemi di certificazione del software
Aaron Visaggio, professore associato presso l’Università del Sannio e responsabile dell’ISWAT LAB, sottolinea come la notizia non dovrebbe sorprendere. “Un crack è per definizione un software di cui nessuno si prende la responsabilità, per cui se ci sono app di gaming che hanno comportamenti malevoli o comunque non fair, perché non aspettarselo da un crack?”.
La scoperta della backdoor nelle versioni pirata di Office e Photoshop CC solleva, secondo l’analista, due questioni: “la prima è che ancora non vi è alcun timore nell’acquisire software di dubbia provenienza, come per l’appunto un software “crackato”. E questo vuol dire che la cultura della sicurezza informatica necessita ancora di molta strada per diventare matura. La seconda considerazione è che ora è importante avere sistemi di certificazione del software, ovvero sistemi che provano che il software non abbia comportamenti pericolosi. Questo sarebbe di grande aiuto per limitare non solo i software malevoli, ma anche i software dichiaratamente non-malevoli, ma che possono comunque avere comportamenti che espongono ad un rischio o non propriamente corretti”.
Backdoor in Office e Photoshop CC: distribuzione degli attacchi
La mappa fornita dai ricercatori evidenzia numeri molto alti di attacchi nelle aree degli Stati Uniti, e in India; tuttavia, anche molti altri paesi europei come Italia, Spagna, Germania e Regno Unito sono fra i paesi più colpiti.
Il tasso e incidenza di infezione è legato molto probabilmente alle preferenze di utilizzo di software pirata a livello geografico.
