Finte campagne Google Ads conducono a software contraffatti che emulano applicazioni popolari e diffuse. È una tecnica di diffusione di codice malevolo, particolarmente gettonata tra la fine del 2022 e l’inizio del 2023.
Episodi simili si sono verificati nel corso degli anni spingendo gli utenti a raggiungere finte pagine web dalle quali prelevare software come VLC, Notepad++, CCleaner, Rufus, 7-Zip e altri ancora, permettendo ai criminal hacker di distribuire malware e trojan. Nel 2017 il trojan Gozi ha permesso attacchi hVNC in modo non troppo dissimile da quelli perpetrati con LOBSHOT, minaccia resa nota dall’azienda di sicurezza Elastic alla fine del mese di aprile, ma le cui tracce sono antecedenti.
Nulla di nuovo, insomma, cambia la minaccia ma non il metodo con cui si diffonde.
Guida al ransomware: cos’è, come si prende e come rimuoverlo
Indice degli argomenti
La diffusione di LOBSHOT
Quella che sembra essere la pubblicità del software per il controllo remoto AnyDesk non conduce al sito ufficiale (anydesk.com) ma al sito “gemello” amydecke.website (ora non più raggiungibile) dal quale l’utente preleva un file .msi (Microsoft Windows Installer) mediante il quale viene eseguito un comando PowerShell che avvia il download di una dll dal sito download-cdn.com, repository storicamente riconducibile al gruppo di cyber criminali TA505.
Va sottolineato che i produttori dei software oggetto delle finte campagne pubblicitarie, in questo caso AnyDesk, sono estranei alle vicende di cui vengono inconsapevolmente resi protagonisti.
La dll prelevata è in realtà il malware LOBSHOT e viene lanciato da RunDLL32.exe, eseguibile di Windows che lancia le dll, codice che può essere utilizzato da più applicativi.
I primi casi di LOBSHOT sono stati osservati a luglio del 2022, individuando due diverse compilazioni della dll che restituiscono file rispettivamente di 93 KB e di 124 KB fisicamente individuati nella directory C:\Programmi (o ProgramData laddove il sistema operativo è in lingua inglese).
Cosa fa LOBSHOT
Appena eseguito, il malware controlla e disattiva Microsoft Defender, l’antivirus di default dai sistemi operativi Windows 8 in poi e configura il file di registro per avviarsi automaticamente all’accensione del computer, inviando all’attaccante informazioni sul computer e su diverse estensioni dei browser Chorme, Edge e Firexof per la gestione delle criptovalute.
Non da ultimo, il malware include un modulo hVNC che consente ai cyber criminali di accedere al computer in remoto. hVNC è acronimo di Hidden VNC, ossia un software per il controllo remoto che non risulta visibile all’utente, permettendo così a chi ne fa uso di agire pressoché indisturbato come se fosse seduto davanti al pc infetto, potendo quindi eseguire comandi, sottraendo dati e installando altri software malevoli.
I rimedi
Non è sempre facile orientarsi tra le minacce, così come può non essere evidente individuare i rimedi. Per comprendere meglio quale comportamento dovrebbe adottare un utente (sia questo un singolo o un’impresa), ci siamo rivolti a Marco Ramilli, fondatore e CEO di Yoroi, azienda italiana che si occupa di cyber sicurezza: “Identificare le minacce non è sempre facile, soprattutto con gli ultimi strumenti in mano agli attaccanti, come per esempio quelli basati sull’Intelligenza artificiale che permette loro di creare dei payload (virus che non permettono di svolgere operazioni su un sistema infetta, nda), quindi un utente, quando scarica un file da un sito internet o comunque da una pubblicazione sul web, deve porre particolari attenzioni”.
Le precauzioni ci sono e, benché non possano rappresentare una garanzia totale, hanno il pregio di potere disarmare gli attaccanti: “Esistono fortunatamente degli strumenti che prendono il nome di sandbox attraverso i quali l’utente può caricare il file che ha prelevato online e aspettare qualche secondo o qualche minuto per avere un resoconto. La sandbox è un sistema capace di eseguire automaticamente il file e comunicare se questo è malevolo o benevolo. Esistono sul mercato diverse tipologie di sandbox e alcune di esse sono anche gratuite: tra queste figurano Hybrid Analysis, Any.Run o Yomi di Yoroi”, spiega Ramilli.
L’utilità relativa degli antivirus
Un software antivirus non è più sufficiente e, al contrario di quanto si crede, averne più d’uno non offre particolari vantaggi, è semmai il contrario.
“Più antivirus – continua Ramilli – vanno in conflitto l’uno con l’altro. Uno strumento più contemporaneo è un EDR, che significa Endpoint Detection and Response e che ha al suo interno tipicamente, ma non necessariamente, un motore antivirus. Ha la capacità di identificare minacce più tradizionali e, grazie a un motore più sofisticato, ha anche l’opportunità di identificare e bloccare minacce evasive e capaci di cambiare i loro comportamenti di volta in volta. Sul mercato ne esistono diversi, ma diffiderei da quelli che affermano di essere gratuiti perché molto spesso nascondono dei trojan. È consigliabile l’uso di EDR professionali, ad esempio, CloudStrike, SentinelOne o Cynet, principalmente ubicati negli Stati Uniti e in Israele. In Europa si è guadagnato un nome Bitdefender e c’è anche Kanwa di Yoroi”.
Se per i singoli utenti un EDR è sufficiente, per le imprese è più opportuna una soluzione MDR, acronimo di Managed Detection and Response che, conclude Ramilli “è una soluzione gestita da un team professionale ed è suggeribile tanto alle piccole organizzazioni quanto a quelle di grandi dimensioni”.
