I criminali informatici stanno adottando nuovi approcci per diffondere malware ed eludere i sistemi di difesa tradizionali. Alla base di queste strategie c’è la capacità di sfruttare a proprio vantaggio la fiducia che gli utenti finali nutrono nei confronti dei fornitori di software più affidabili e in vista del mercato.
A dirlo è un report di VirusTotal, team di Google Cloud specializzato nei temi della cybersecurity, che sottolinea come l’uso di canali di distribuzione legittimi per la diffusione di malware consenta di sfuggire alle tradizionali difese perimetrali, inclusi i firewall basati su dominio o Ip.
Un fenomeno che continua a crescere
Lo studio afferma, per esempio, che il 10% dei primi mille domini Alexa ha distribuito campioni sospetti. In totale, Google ha trovato oltre 2 milioni di file sospetti scaricati da questi domini, inclusi quelli regolarmente utilizzati per la distribuzione di file. Un altro vettore di attacco è il furto di certificati di firma legittimi da parte di produttori di software altrettanto legittimi, che vengono quindi utilizzati per firmare il malware.
Il report evidenzia come il malware perpetrato tramite chiavi di firma rubate sia dunque più frequente del previsto: i software dannosi che eseguono programmi di installazione legittimi o li inseriscono nello stesso file compresso all’interno del sample di malware, probabilmente non sono così comuni come le altre tecniche documentate, ma rappresentano un trend costante e in leggero aumento. L’imitazione visiva di applicazioni legittime, d’altra parte, è una tendenza in crescita e prende di mira una serie di applicazioni popolari (Skype, Adobe Acrobat, Vlc). Anche perché i domini popolari utilizzati da organizzazioni legittime vengono regolarmente utilizzati per distribuire malware, compresi i siti di hosting delle applicazioni più diffuse.
I campioni firmati con certificati legittimi sono stati, per molto tempo, considerati sicuri da utilizzare dal sistema operativo e da alcune soluzioni di sicurezza. Sfortunatamente, gli aggressori hanno abusato di questa fiducia rubando certificati di firma legittimi e utilizzandoli per firmare il loro malware, facendoli apparire come se provenissero da produttori di software legittimi.
“Abbiamo esplorato il database di VirusTotal e abbiamo scoperto che dal 2021 più di un milione di campioni firmati sono stati considerati sospetti (con oltre il 15% degli antivirus che li ha rilevati come dannosi). Tuttavia, non tutti i campioni avevano una firma valida quando sono stati creati in quanto gli aggressori hanno riutilizzato certificati revocati o non validi, spesso la validità della catena di certificazione non è verificata dalla vittima. In particolare, quasi il 13% di questi campioni non disponeva di una firma valida quando sono stati caricati per la prima volta su VirusTotal. Più del 99% di questi file firmati sono file eseguibili o Dll di Windows Portable”, spiegano gli esperti di VirusTotal.
Il malware che si annida nel software legittimo
Uno dei più semplici trucchi di ingegneria sociale riscontrati da VirusTotal consiste nel far sembrare un campione di malware un programma legittimo. L’icona di questi programmi è una caratteristica fondamentale utilizzata per convincere le vittime che questi programmi sono sicuri. Per dimostrarlo è stata analizzata una serie di software Windows scaricati di frequente, utilizzando la logica fuzzy per trovare campioni sospetti (con più di cinque antivirus che lo hanno rilevato come dannoso) utilizzando icone visivamente simili. Questo può dare un’idea di quanto sia diffusa questa tecnica.
Un’altra tecnica efficace di social engineering consiste nel mascherare il malware come software legittimo inserendolo all’interno nei pacchetti di installazione. Questi attacchi alla catena di approvvigionamento funzionano quando gli aggressori ottengono l’accesso al server di distribuzione ufficiale, al codice sorgente o ai certificati. Per trovare potenziali casi in cui gli aggressori potrebbero utilizzare server di hosting legittimi per distribuire malware, sono stati scandagliati campioni scaricati da un sottoinsieme di 35 domini legittimi che ospitano pacchetti software popolari. Dal 2020 ad oggi, VirusTotal ha trovato circa 80 file sospetti (con oltre il 5% di antivirus che li ha rilevati come dannosi) su 80 mila file distribuiti (circa lo 0,1%). Oltre al tasso di rilevamento, sono state esplorate le relazioni per tutti i file serviti per capire se stavano eseguendo attività sospette o se erano stati eliminati da file malware.
“VirusTotal è in una posizione unica per fornire una fonte di visibilità completa del panorama del malware” commentano gli autori del report. “Negli ultimi 16 anni abbiamo elaborato più di due milioni di file al giorno in 232 paesi. VirusTotal sfrutta anche il contributo continuo della sua comunità di utenti per fornire un contesto di attacco pertinente. Utilizziamo questa intelligence in crowdsourcing per analizzare i dati rilevanti, condividere una comprensione di come si sviluppano gli attacchi e aiutare a informare su come potrebbero evolversi in futuro. Questo rapporto continua nella direzione di quello che speriamo diventi uno sforzo continuo della comunità per scoprire e condividere informazioni utili sulle tendenze del malware”.
