Probabilmente avrai già sentito parlare di infostealer o malware che rubano informazioni. Possono assumere la forma di trojan, virus e botnet, ma ci sono livelli – ed è tutto molto più insidioso di quanto si possa pensare.
Negli anni 80, quando Internet non era ancora quello che è ora, se volevi scaricare un software o inviare un messaggio a qualcuno, le tue opzioni erano estremamente limitate (a quei tempi, le riviste includevano articoli con pagine di codice BASIC che potevi digitare, si spera, senza errori – quindi il download era preferito!). Certo, CompuServe e Prodigy erano in giro, ma erano terribilmente costosi, quindi molti di noi erano costretti a usare un modem per connettersi ai Bulletin Board Systems (BBS).
E con il download del software arrivava la potenziale minaccia di infettare il tuo personal computer con un virus. Ma allora il mondo era diverso. Per gli standard odierni, i virus informatici negli anni ’80 erano semplicemente un fastidio. Oggi, i malintenzionati infettano il tuo computer con le peggiori intenzioni: in particolare, i criminali informatici stanno cercando di monetizzare i tuoi dati, compresi i dati che utilizzi per autenticarti in siti Web e app.
Tenendo questo a mente, questo articolo si concentra sul più nefasto dei malware infostealer, le botnet, e su come proteggere te stesso e la tua organizzazione dalle relative attività dannose.
Cosa sono le botnet?
Costruite sul modello client/server, le botnet (abbreviazione di “rete robot”) sono reti di computer infettati da malware che sono sotto il controllo di un singolo attore di minacce noto come “bot-herder”. Il bot-herder si affida a un Command & Control Server (C2) per amministrare i bot e, poiché i computer infetti sono sotto il controllo del C2, un’infezione da botnet è come avere un hacker malintenzionato all’interno della rete.
Se utilizzate dai criminali informatici, le botnet sono particolarmente utili per sferrare sistematicamente attacchi su larga scala.
Come funzionano le botnet?
Un attacco Distributed Denial of Service (DDoS) è un tradizionale esempio di attacco botnet. Originariamente le botnet venivano utilizzate per sferrare attacchi DDoS o diffondere spam. Man mano che maturavano, alcune infezioni botnet si sono evolute fino a includere keylogger per registrare i tasti premuti, consentendo ai malintenzionati di acquisire nomi utente e password che utilizzi per accedere ai tuoi servizi preferiti come e-mail, servizi di streaming, istituti finanziari e social media.
Le botnet di oggi sono molto più sofisticate. Un attacco botnet viene generalmente recapitato sotto forma di trojan, come allegato di posta elettronica o incorporato in modo dannoso in un software che potresti scaricare. E sebbene il software antivirus possa fornire una certa protezione, spesso i metodi di distribuzione delle botnet sono sufficientemente sofisticati da eludere il rilevamento anche da parte dei migliori software antivirus.
Una volta installato, il malware botnet ruba informazioni dal tuo computer, tra cui:
- Nomi utente e password
- Chiavi di accesso
- Nomi host da browser e client FTP
- Cookie/token del browser
- Compilazione automatica dei dati
- Indirizzi dei portafogli crittografici
- File con estensioni specifiche
- Schermate del desktop
- Cronologia chat
- Elenco dei programmi installati e dei processi in esecuzione
- Identificatore univoco globale (GUID) della macchina, nonché architettura del sistema, lingua del sistema, nome utente e nome del computer
E non dimentichiamo che, anche dopo aver rubato tutto ciò che ho menzionato sopra, le botnet hanno ancora la capacità di eseguire comandi backdoor da un bot herder remoto. Ciò non significa solo che possono raccogliere le impostazioni di rete del tuo dispositivo compromesso, scaricare software dannoso aggiuntivo, nonché eseguire, eliminare file, ecc., ma possono anche utilizzare il tuo computer per perpetrare comportamenti criminali dannosi.
Una minaccia emergente: le botnet aprono la porta al dirottamento delle sessioni
Un altro aspetto insidioso del malware infostealer è il furto dei cookie di sessione. I criminali stanno diversificando le loro tattiche sfruttando le botnet per rubare cookie per sessioni già autenticate per poi prendere il controllo delle sessioni utente attive.
I dati dei cookie di sessione rubati possono essere utilizzati anche per aggirare tutte le forme di autenticazione, inclusa l’autenticazione a più fattori e persino le passkey. Sebbene gli identificatori degli utenti (indirizzi e-mail, nomi utente, numeri di telefono, ecc.) e le password rimangano gli obiettivi più popolari del malware che ruba informazioni, la proliferazione dell’autenticazione a più fattori e dell’SSO ha ridotto l’efficacia delle credenziali rubate per i criminali informatici. Con questo in mente, i malintenzionati hanno aggiunto al loro repertorio il furto di cookie di sessione come forma di accesso agli account, furto di dati sensibili, perpetrazione di frodi ed esecuzione di attacchi informatici.
Stiamo assistendo a un aumento significativo del numero di famiglie di malware infostealer che prendono di mira i cookie e le informazioni archiviate dai browser, con oltre 22 miliardi di record di cookie di dispositivi e sessioni rubati dai criminali lo scorso anno.
Altri obiettivi delle botnet: carte di credito, accessi a conti bancari e risorse digitali come portafogli di criptovaluta
Sempre più spesso, i criminali sfruttano anche i dettagli delle carte di credito e le credenziali rubate per gli scambi di criptovaluta e i conti bancari, il tutto utilizzando dati esfiltrati da dispositivi che sono stati infettati da malware infostealer. Un esempio recente è la campagna Vidar AnyDesk, che ha indotto gli utenti a scaricare malware infostealer che prendevano di mira la cronologia del browser, le credenziali degli account, le password, i dati del portafoglio di criptovaluta e i dettagli bancari.
I dati del portafoglio crittografico, in particolare, offrono ai criminali informatici una serie di opzioni di follow-up, dallo sfruttamento delle credenziali di accesso e delle chiavi private, fino al trasferimento di fondi dal portafoglio del proprietario del dispositivo al conto del criminale. La campagna malware Blackguard è un altro esempio recente di quanti dati finanziari possono essere rubati e utilizzati contro di te.
Contrariamente alla credenza popolare, i criminali informatici possono anche sfruttare i dati anonimi del portafoglio di criptovalute. I portafogli crittografici anonimi consentono agli utenti di vendere e scambiare risorse digitali senza rivelare informazioni private sul proprietario o transazioni completate dal proprietario – e alcuni fornitori di portafogli crittografici anonimi offrono persino supporto per l’offuscamento dell’indirizzo IP. Ma sebbene questi portafogli siano destinati a offrire maggiore privacy e sicurezza rispetto alle blockchain pubbliche, possono comunque essere compromessi se correlati alle e-mail, ai nomi utente e alle password del proprietario.
Botnet e dark web
Una volta che i criminali informatici entrano in possesso dei tuoi dati, il passo successivo è monetizzarli. In genere, ciò significa scambiare i propri dati con altri malintenzionati che conoscono o mercificarli apertamente nel dark web. Ciò significa che le tue credenziali di streaming video, le informazioni di accesso alla banca e gli altri segreti meglio custoditi raccolti dal tuo computer potrebbero essere in vendita su un mercato aperto. E se sei un cattivo attore, puoi anche pagare per installare il tuo malware su host precedentemente infetti per aiutarti a eseguire attacchi su larga scala o altri comportamenti dannosi in massa.
Alcune delle botnet più grandi possono ospitare da 600.000 a 1 milione di bot, con conseguenti enormi flussi di entrate per gli autori delle minacce. Secondo una ricerca sulle botnet dell’Università di Twente nei Paesi Bassi:
Gli attacchi denial-of-service distribuiti che utilizzano una rete di 30.000 bot possono generare circa 26.000 dollari al mese. La pubblicità spam con 10.000 bot genera circa 300.000 dollari al mese, mentre le frodi bancarie con 30.000 bot possono generare oltre 18 milioni di dollari al mese. Ma l’impresa più redditizia è la frode sui clic, che genera profitti superiori a 20 milioni di dollari al mese.
In tutta onestà, non è tutto profitto. La creazione e la manutenzione delle botnet comportano dei costi: secondo la stessa ricerca, si stima dai 2 ai 10 centesimi per dispositivo per installare il malware, più i costi per mantenere la rete, re-infettando le macchine che sono state rimosse dagli anti -software malware o una patch del sistema operativo. Indipendentemente da ciò, gli attacchi botnet rimangono un’impresa redditizia, motivo per cui gli autori delle minacce continuano a investire tempo e sforzi. I leader e i professionisti della sicurezza rimangono giustamente preoccupati per l’esposizione degli utenti a malware e altri exploit – infatti, quasi la metà dei dati esposti nella darknet che SpyCloud ha recuperato nel 2022 provenivano da botnet – e questa tendenza continua a crescere rapidamente.
Come proteggere la tua azienda dagli attacchi botnet
Distribuisci software antivirus/antimalware, mantienilo aggiornato ed esegui scansioni frequenti su download e macchine.
È un primo passo fondamentale per proteggersi da molte minacce informatiche, ma non è la soluzione miracolosa a causa della crescente sofisticazione del malware. Il nostro team di SpyCloud ha recentemente scoperto che il 20% di tutti i registri degli infostealer recuperati aveva un’applicazione antivirus installata al momento dell’esecuzione, ma gli infostealer erano comunque in grado di intrufolarsi e rubare dati senza essere rilevati
Pensa prima di scaricare qualsiasi cosa
Anche se quel programma gratuito sembra allettante, potrebbe essere un malware sotto mentite spoglie. Diffidare degli allegati provenienti da fonti sconosciute; il malware viene inviato principalmente tramite e-mail e molto comunemente entra nella tua casella di posta come documento di Microsoft Office. Anche quelli di noi che lavorano nel settore della sicurezza e sono altamente sospettosi possono essere ingannati
Informa te stesso e i tuoi utenti costantemente
Alcuni di noi si sono accontentati di una formazione annuale sulla sensibilizzazione alla sicurezza. Non è abbastanza. Abbiamo bisogno di promemoria per non fare clic su collegamenti sospetti ed evitare di scaricare allegati da fonti non attendibili. Credo nel vantaggio del fenomeno Baader-Meinhof, secondo cui dopo aver notato qualcosa per la prima volta, lo vedi continuamente. L’obiettivo della formazione sulla sicurezza non è quello di spaventarti nell’utilizzare gli strumenti necessari per svolgere il tuo lavoro, ma piuttosto di renderti cauto nel fare clic su quel collegamento o nel scaricare la fattura dal contatto finanziario del nuovo fornitore.
Sii vigile sulla sicurezza del tuo account online
Il malware può causare la violazione degli account, in particolare da parte di keylogger che possono sottrarre le tue credenziali di accesso. Se noti un aumento delle attività sospette su diversi dei tuoi account (soprattutto se stai facendo la cosa giusta e utilizzi una password univoca e complessa per ciascun account), la causa potrebbe essere un malware. Consiglio di installare un programma antivirus ed eseguire una scansione, quindi esaminare gli account e modificare le password una volta che la macchina è stata pulita.
Monitora gli utenti e i dispositivi compromessi
Con l’aumento del dirottamento delle sessioni, espandi il tuo monitoraggio per tenere conto a livello di codice delle sessioni web rubate e sviluppa un processo per invalidare le sessioni web relative agli utenti infetti. Reagire rapidamente ti darà il vantaggio e impedirà ai criminali di sfruttare i vantaggi di attività dannose.
Abbiamo creato una guida per rimediare alle infezioni da malware e ti incoraggio a consultarla per scoprire come gestire queste situazioni per i tuoi dipendenti e consumatori.
- Articolo originale
- Scarica la guida “Infected User Response Guide”
- Per verificare gratuitamente la tua esposizione al rischio, vai su
“Check Your Darknet Exposure”
