Qualunque applicativo informatico presenta delle vulnerabilità software che, a seconda dei casi, possono essere più o meno marcate. Tali vulnerabilità possono costituire un vero pericolo per i dati personali di un utente in quanto degli hacker potrebbero debitamente sfruttarle per diffondere virus informatici di vario tipo. Gli sviluppatori, quindi, devono prestare particolare attenzione alla fase di programmazione onde evitare problemi di questo tipo.
Correlate alle vulnerabilità software, esistono anche versioni malevoli di programmi (anche molto conosciuti) studiate ad hoc per sfruttarle al meglio: si tratta di applicativi del tutto simili a quelli originali ma che nascondono, al loro interno, un codice malevolo potenzialmente pericoloso. Una cosa di questo tipo è accaduta a Microsoft Teams (software peraltro molto utilizzato in questo periodo caratterizzato dalla pandemia da COVID-19): vediamo nei dettagli cosa è successo.
Microsoft Teams bersaglio di una campagna “FakeUpdates”
Come abbiamo appena anticipato Microsoft Teams, software molto utilizzato per lo smart working, è stato oggetto di una campagna di “FakeUpdates” alquanto pericolosa. Per chi non lo sapesse, tale campagna consiste nel dirottare l’utente verso un sito apparentemente sicuro ma che, in realtà, comporta il download di aggiornamenti software molto pericolosi (nel caso di questa campagna il dirottamento avveniva anche per mezzo di annunci Google).
Il funzionamento di questo meccanismo, in questo caso specifico, è il seguente: quando si scarica l’aggiornamento “Fake” di Teams si scaricano l’applicativo originale (per non destare sospetti) ed un “Payload” che possiamo considerare come un “pre-virus” utile all’hacker per catturare un primo set di informazioni sensibili (credenziali di accesso, dati del browser e molto altro ancora). Nel caso specifico di questa campagna, tale “Payload” prende il nome di “Cobalt Strike“: un software nato proprio per proteggere dai virus ma che, se usato nel modo sbagliato, può inviare ogni tipo di dato sensibile a un server remoto.
Una volta installato l’applicativo malevolo gli sviluppi successivi sono molteplici. Nei casi più gravi si è arrivati ad un vero e proprio attacco ransomware: un virus che cifra tutti i dati del proprio disco fisso e chiede un riscatto (di solito in Bitcoin) per poter accedere nuovamente ai propri contenuti personali.
Il modo più semplice per evitare di essere bersagliati da una campagna di questo tipo consiste nell’uso di un browser affidabile, in grado di bloccare siti e contenuti dannosi (se usate Google Chrome od affini potrete considerarvi ragionevolmente al sicuro). La stessa Microsoft consiglia anche di bloccare l’esecuzione di codice JavaScript e VBScript che, altrimenti, può essere il motore di una serie di download “nascosti” e, ovviamente, tutt’altro che autorizzati dall’utente finale.