La sicurezza informatica è ormai più una chimera che una realtà, con i pirati digitali sempre un passo avanti ai pur abili tutori dell’ordine binario. Ne sono una prova tangibile le nuove minacce, segnalate nelle scorse ore, in grado di colpire computer e smartphone.
Per la serie “non è tutto oro quel che luccica“, Avast ha di recente messo in guardia dal procurarsi copie pirata di CCleaner Professional (software cancella file inutili, guarda caso comprato da Avast nel 2017) visto che, nel procedere a tale intento, si rischia di contaminare il proprio PC con l’infostealer FakeCrack. Il tutto avviene quando gli utenti cercano come craccare Ccleaner Professional ed eseguono una ricerca su Google: qui gli hacker, grazie a tecniche di Black Hat SEO, piazzano in cima ai risultati i loro siti pericolosi, che reindirizzano gli utenti a piattaforma di file hosting da cui scaricare un file zippato col codice 1234 (per evitare scansioni al suo interno).
Tale file archivio, anziché contenere il crack per Ccleaner Professional, contiene un eseguibile che, avviato, rilascia il malware di cui sopra, che da quel momento si mette in azione, rubando le password e le credenziali salvate nei browser, info di sistema (come l’elenco delle app installate), esegue degli screenshot e, mediante uno script, sostituisce dalla tabella degli appunti l’indirizzo del cryptowallet dell’utente con quello dei criminali (che quindi si vedono bonificare le cryptovalute senza colpo ferire), con tutti i dati carpiti poi inviati in un ZIP codificato al server di controllo e comando remoto (C2) dei criminali.
Dalla software house americana PIXM è arrivato un allarme che mette in guardia contro (l’incolpevole) Messenger. Nello specifico, alcuni hacker, usando dei profili zombizzati, invierebbero tramite la chat app in questione dei link a finte pagine di accesso di Facebook, ormai visitate milioni di volte, con cui carpire le credenziali di accesso al social. Tale “infezione” sarebbe di difficile blocco, in quanto i criminali – al posto di inviare normali link – agirebbero tramite servizi di url shortening (glitch.me, funnel-preview.com, famous.co, amaze.co), impossibili da bloccare perché, in quanto legittimi, un loro ban inibirebbe tanti altri collegamenti legittimi condivisi.
Dai ricercatori della Palo Alto Networks Unit 42, arriva invece la segnalazione su un ransomware attivo dal 2021, di probabile origine russa, Hello XD, in grado di attivare una backdoor (MicroBackdoor) nel sistema (utile per inviare comandi, cancellare da remoto i dati e ogni traccia dell’azione vandalica), di sterminare tutte le copie shadow per impedire il ripristino dei file, che poi va a codificare con l’estensione “.hello”. Nella recrudescenza di questo virus, che porta alla richiesta di un riscatto per riavere indietro i propri file, si è notato che ora è in grado di aggirare i sistemi di scansione e riconoscimento tramite un “packing personalizzato” che gli permette di modificare continuamente l’algoritmo di crittografia.
La security house Dr. Web, infine, nel distribuire il report di sicurezza di Maggio ha allertato su 5 app per Android, gran parte delle quali ancora presenti sul Play Store (non è chiaro se ciò sia possibile perché le app sarebbero state ricarica una volta pulite, o per la mancata rimozione da parte di Google), rappresentate da PIP Pic Camera Photo Editor (capace di rubare il login di Facebook: a oggi rimossa dopo 1 milione di scaricamenti), Magnifier Flashlight (ancora presente, con 10mila download), PIP Camera 2022 (ancora presente, forte di 50mila download), ZodiHoroscope (ancora presente, con mezzo milioni di download, ruba le credenziali di Facebook), Wild & Exotic Animal Wallpaper (presente, con 500mila download: una volta installato si sottrae alle ottimizzazioni della batteria a si rinomina in SIM Tool Kit). Secondo gli esperti, un probabile sintomo di truffaldinità di tali app consiste nel fatto che, in alcuni casi, le recensioni rilasciate in merito parlano di funzioni reali diverse da quelle citate nelle descrizioni.