Scoperte nuove minacce per la sicurezza degli utenti

Come il meteo, tende al brutto tempo anche la situazione della sicurezza digitale degli utenti, con vari esperti di sicurezza e security house che, nelle scorse ore, hanno segnalato numerosi attacchi, emergenze, vulnerabilità dannose o potenzialmente tali per gli utenti di servizi e internauti. 

Di recente, alcuni esperti di sicurezza hanno scoperto un attacco condotto tramite un finto sito web (al quale si veniva indirizzati tramite pubblicità comprate sui termini che riguardavano i browser) che, mediante l’impiego del punycode, risultava simile a quello autentico, brave.com, dal quale si scarica un noto browser. Il risultato, però, è che premendo su “Download Brave”, si scaricava un file ISO di 303 MB contenente un virus noto come SectopRat o ArechClient, un trojan ad accesso remoto che già nel 2019 era in grado di riprodurre in streaming il contenuto del desktop principale e di aprirne uno secondario nascosto sul quale gli hacker effettuavano la navigazione.

In seguito, il malware è stato addizionato con la capacità di profilare il sistema, di effettuare comunicazioni crittografate col server di comando e controllo degli hacker, di sottrarre la cronologia di navigazione di browser come Firefox e Chrome. Al momento, avvertita della minaccia, l’azienda NameCheap ha chiuso i domini dei server usati dagli hacker, mentre Google ha depennato le pubblicità truffaldine che portavano al finto sito di Brave.

Un’altra minaccia, in questo caso scoperta dalla security house americana Red Canary, riguarda il tool KMSpico, che solitamente gli utenti usano per attivare a scrocco licenze di Office e Windows: questo tool, in genere identificato come software potenzialmente indesiderato dagli antivirus, non di rado è addizionato con virus e, a tal proposito, di recente ne sono state avvistate copie “arricchite” col malware Cryptbot. Quest’ultimo, capace di offuscarsi bene, visto che il suo installer è criptato, che in chiaro non scarica nulla in locale, e che la sua presenza si nota solo indagando (es. per monitorare un anomalo traffico in rete), ruba dati sensibili dai principali browser (Chrome, Opera, Firefox, ma anche Vivaldi e Brave) e le credenziali di accesso ai portafogli per la gestione delle valute digitali (es. come nel caso del wallet di Atomic, Monero, Electron Cash, Ledger Live, Exodus). 

Da Cybhorus, invece, arriva la segnalazione di campagne di pubblicità malevoli, malvertising, che, catturando l’attenzione di utenti alla ricerca di software popolari (es. Viber, Battlefield, NoxPlayer, WeChat), installano sui terminali delle vittime una backdoor, per mantenere un accesso remoto attivo, e l’estensione per Chrome nota come “MagnatExtension” che, oltre a eseguire screenshot dello schermo, ottiene dati sensibili e ruba le password registrando tutto quel che si digita sulla tastiera. Anche in questo caso, come nelle altre minacce sinora menzionate, il consiglio è di scaricare solo programmi, app ed estensioni di cui si ha bisogno, facendo affidamento a brand conosciuti, reperendo quanto necessario da marketplace o app store ufficiali. 

Infine, il portale di sicurezza HaveIBeenPwned ha avvertito che il servizio di avatar universali Gravatar di proprietà dell’azienda che gestisce WordPress, è stato sottoposto a un’azione di tipo scraping, che ha portato a raccogliere informazioni – in verità pubbliche – di 167 milioni di utenti: tra le info coinvolte vi sarebbero lo username, il nome e il codice identificativo hash md5. In 114 milioni di casi, il codice in questione è stato craccato e distribuito, permettendo di risalire ai dati di accompagnamento e all’email originale dell’utente.