Questa sera la trasmissione Patti Chiari della radiotelevisione svizzera di lingua italiana si occuperà di truffe effettuate tramite carte di credito, sia online sia offline. Verrà interpellato anche Ross Anderson, quello della tecnica per scavalcare il PIN delle carte di credito. Io farò un’apparizioncella per dare qualche dritta su come difendersi da questo genere di trappola.
Questo articolo è disponibile anche in
versione podcast.
Se giocate a Minecraft su computer Windows o Linux e siete appassionati di
modding, ossia dell’aggiunta o modifica di funzioni, oggetti, ambienti e
altro ancora al gioco di base, vi conviene fare più attenzione del solito a cosa
scaricate e da dove lo scaricate.
Ai primi di giugno, infatti, due fra le più importanti piattaforme di
distribuzione di queste modifiche, o mod, sono state attaccate,
violando vari account, e molte mod e molti plugin per Minecraft
disponibili tramite queste piattaforme sono stati infettati e distribuiti agli
utenti.
Il risultato è che chi ha scaricato modpack molto popolari, come
Better Minecraft, che ha oltre quattro milioni e mezzo di download, può
trovarsi con il computer infetto da un malware che ruba le credenziali di
accesso salvate nei browser e quelle degli account Minecraft, Microsoft e
Discord e si insedia permanentemente sul computer, aggiornandosi man mano.
Le piattaforme di modding prese di mira sono
CurseForge e
Bukkit, e l’elenco di mod e
modpack infettate è piuttosto lungo (lo trovate per esempio su
BleepingComputer.com) e non si sa se sia completo.
Per evitare panico inutile, soprattutto fra i giocatori più giovani e i loro
genitori, è importante sottolineare che il problema riguarda esclusivamente
chi ha installato modifiche a Minecraft e usa computer Windows o Linux. Chi
gioca semplicemente a Minecraft di base e usa altri dispositivi non basati su
Windows o Linux non è coinvolto in questo problema.
Ma per chi ama il modding e usa questi sistemi operativi il danno è
molto serio, anche in termini di fiducia. Gli aggressori informatici hanno
infatti preso di mira siti attendibili, come appunto CurseForge e Bukkit, e li
hanno indotti a distribuire il loro malware, denominato Fractureiser.
Per prima cosa hanno preso il controllo di alcuni account su queste
piattaforme e hanno inserito del codice ostile nei plugin e nelle mod offerte
da questi account. Poi questi software modificati e infetti sono stati
adottati automaticamente da vari modpack molto popolari e quindi sono
stati distribuiti automaticamente agli utenti fino al momento in cui sono
intervenuti i gestori di queste piattaforme e hanno ripulito i propri sistemi.
Chi ha scaricato ed eseguito una di queste mod infette, distribuite più o meno
nelle ultime tre settimane, ha probabilmente infettato il proprio computer.
Fortunatamente ci sono degli script di scansione
per Windows
e
per Linux
che rilevano i sintomi di un’infezione; in alternativa è possibile
controllare manualmente
se il Registro di Windows è stato alterato o se ci sono altri file ostili sul
computer.
I principali antivirus si stanno già aggiornando per rilevare questi sintomi,
per cui se avete dubbi conviene aspettare ancora qualche ora e poi aggiornare
il vostro antivirus e rifare una scansione completa.
Se purtroppo scoprite di avere il computer infetto, è consigliabile
reinstallare il sistema operativo e cambiare tutte le proprie password,
partendo subito da quelle dei servizi più interessanti per i criminali, ossia
quelle che proteggono criptovalute, caselle di mail e conti correnti.
Maggiori dettagli tecnici sul malware Fractureiser e sulla tecnica di attacco
dei criminali informatici sono disponibili sul già citato
BleepingComputer
e su
Tripwire
[anche su
CurseForge,
Hackmd.io,
Prismlauncher.org
e
Github]. Una delle piattaforme colpite, CurseForge, ha inoltre pubblicato una
descrizione
approfondita delle varie fasi di questo attacco mirato e sofisticato e delle
misure di protezione da adottare.
Questo attacco è particolarmente interessante, perché sovverte uno dei
consigli di sicurezza più frequenti, ossia quello di scaricare solo software
da siti attendibili, e lo usa per abbassare le difese degli utenti, perché
sfrutta proprio questi siti di cui l’utente si fida. Qui le vittime non sono
giocatori incauti che hanno scaricato software da siti sconosciuti e senza
garanzie; sono persone che si sono rivolte a piattaforme universalmente
considerate sicure.
Inoltre l’attacco prende di mira una categoria di utenti che è solitamente
meno attenta di altre alla sicurezza informatica, cioè i gamer giovani
e giovanissimi, che probabilmente non si aspettano di essere attaccati,
specialmente da qualcosa che scaricano da un sito di ottima reputazione. Sui
loro computer spesso ci sono informazioni e password non solo loro, ma anche
di altri membri della famiglia, che valgono soldi per i criminali.
Ancora una volta, insomma, la sicurezza informatica si conferma un problema
che tocca tutti. Nessuno può permettersi il lusso di dire
“ma chi vuoi che se la prenda con me, io non ho niente che interessi ai
ladri”. È proprio su questo modo di pensare che contano quei ladri.
Pensavo che sarebbe stato un tranquillo lunedì post-pasquale, ma non è andata
così: ho ricevuto da Blogger.com degli avvisi di malware e contenuti sensibili
a proposito di quattro articoli postati sul blog
Undicisettembre, e ci ho perso un
paio d’ore a capirne il senso, per cui racconto qui la vicenda, visto che la
stessa cosa potrebbe capitare ad altri utenti di Blogger.com.
A me e ai coautori di Undicisettembre sono arrivate varie mail da Blogger.com
di questo tenore:
Oggetto: È stata annullata la pubblicazione del post intitolato “World Trade
Center: an interview with doctor Emil Chynn”Ciao,
Come forse già saprai, le nostre Norme della
community (https://blogger.com/go/contentpolicy) descrivono i limiti di ciò
che consentiamo, e non consentiamo, su Blogger. Abbiamo ricevuto una
richiesta di revisione per il tuo post intitolato “World Trade Center:
intervista con il medico Emil Chynn”. Abbiamo stabilito che viola le nostre
norme e abbiamo annullato la pubblicazione dell’URL
http://undicisettembre.blogspot.com/2015/03/world-trade-center-intervista-con-il.html, rendendolo non disponibile per i lettori del blog.Perché la pubblicazione del tuo post del blog è stata annullata?
I tuoi contenuti hanno violato le nostre norme relative a malware e virus.
Per pubblicare nuovamente il post, aggiorna i contenuti per fare in modo che
aderiscano alle Norme della community di Blogger. Dopo averli aggiornati,
puoi pubblicare nuovamente i contenuti all’indirizzo
https://www.blogger.com/go/appeal-post?blogId=30572427&postId=4534350815789526070.
Questo comporterà una revisione del post.Per ulteriori informazioni, consulta le seguenti risorse:
Termini di servizio: https://www.blogger.com/go/terms
Norme della community di Blogger: https://blogger.com/go/contentpolicy
Cordiali
saluti,Il team di Blogger
Il post risaliva a otto anni fa e da allora non era mai stato aggiornato, per cui non era chiaro quale fosse il problema di “malware e virus”. E purtroppo Blogger.com non indica con precisione dove si trovi il problema, per cui rimediare non è intuitivo.
Alla fine, dopo aver spulciato tutto l’HTML del post, ho scoperto che il problema era il link al sito del medico intervistato, il cui nome di dominio era stato probabilmente lasciato scadere dal medico ed era stato rilevato da truffatori, che vi avevano installato del malware. E così un innocuo articolo di intervista a un medico era diventato un articolo che linkava un sito di malware.
Ho rimosso il link e nel giro di pochi minuti è arrivato lo sblocco:
Ciao,
Abbiamo rivalutato il post intitolato “World Trade Center: an interview with doctor Emil Chynn” in base alle Norme della community
https://blogger.com/go/contentpolicy. Dopo la revisione, il post è stato reintegrato. Puoi accedere al post
all’indirizzo
http://undicisettembre.blogspot.com/2015/03/world-trade-center-interview-with.html.
Cordiali saluti,
Il team di Blogger
La stessa cosa (segnalazione di “malware e virus”, modifica e reintegro immediato) è successa con la versione italiana dello stesso post e con un altro articolo del 2008 dello stesso blog, nel quale c‘era un link a un sito complottista il cui nome di dominio era probabilmente passato in mani ostili e linkava malware. Anche qui, rimuovendo il link originale e puntando a una copia del sito complottista archiviate su Archive.org nel 2008 la questione di è risolta.
È andata un po’ diversamente con un altro articolo, risalente al 2007, che però non conteneva link diventati pericolosi ed era stato segnalato non per malware ma perché includeva “contenuti sensibili” e quindi era leggibile soltanto dopo aver cliccato su un avviso:
Ciao,
Come forse già saprai, le nostre Norme della
community (https://blogger.com/go/contentpolicy) descrivono i limiti di ciò che consentiamo, e non consentiamo, su Blogger.
Abbiamo ricevuto una richiesta di revisione per il tuo post intitolato “UPS on
the 81st Floor of WTC2?”. Questo post sarà preceduto da un messaggio di avviso
per i lettori in quanto include contenuti sensibili; il post è visibile
all’indirizzo
http://undicisettembre.blogspot.com/2007/06/ups-on-81st-floor-of-wtc2.html. I lettori del tuo blog devono confermare di aver preso visione del
messaggio di avviso prima di poter leggere il post/blog.Applichiamo messaggi di avviso ai post che includono
contenuti sensibili. Se vuoi che lo stato venga rivisto, aggiorna i contenuti
per fare in modo che aderiscano alle Norme della community di Blogger. Dopo
averli aggiornati, puoi pubblicare nuovamente i contenuti all’indirizzo
https://www.blogger.com/go/appeal-post?blogId=30572427&postId=5650836036677339665. Questo comporterà una revisione del post.
Per ulteriori informazioni, consulta le seguenti
risorse:
Termini di servizio:
https://www.blogger.com/go/terms
Norme della community di Blogger:
https://blogger.com/go/contentpolicy
Cordiali saluti,
Il team di Blogger
Anche in questo caso, Blogger.com non ha specificato quali fossero i “contenuti sensibili”, rendendo difficile risolvere il problema. Erano probabilmente due immagini del World Trade Center in fiamme, ma non lo so per certo, perché mi sono limitato a riformattare l’HTML dell’articolo e ho ricevuto subito una mail di notifica del reintegro del post.
Tutto è bene quel che finisce bene, ma sarebbe gradevole se Blogger.com avesse la cortesia di fornire dettagli invece di limitarsi a dire “in questo post c’è qualcosa che non va”.
Questo articolo è disponibile anche in
versione podcast audio.
È un po’ di tempo che si parla poco di spyware, ossia dei software che
permettono di tracciare o spiare una persona a sua insaputa. Google ha
pubblicato un
rapporto
del proprio gruppo di analisi delle minacce (Threat Analysis Group) che
fa il punto della situazione sulle aziende che fabbricano spyware e lo vendono
ad operatori sostenuti da vari governi. I ricercatori segnalano che sette
delle nove vulnerabilità più gravi, le cosiddette zero day, scoperte da loro nel 2021 sono state sviluppate da fornitori commerciali
e vendute a questi operatori governativi.
Una volta tanto si fanno i nomi e i cognomi e viene presentato un caso
specifico e molto vicino a noi: quello di RCS Labs, un rivenditore italiano al
quale gli esperti di Google attribuiscono queste capacità di sorveglianza
sofisticata, indicando di aver anche identificato
“vittime situate in Italia e in Kazakistan”.
Secondo il rapporto, gli attacchi di questo spyware iniziavano con un link
univoco che veniva inviato alla vittima. Se la vittima vi cliccava sopra,
veniva portata a una specifica pagina web, http://www.fb-techsupport[.]com,
che sembrava essere il Centro assistenza di Facebook e cercava di convincere
la vittima a scaricare e installare su Android o iOS un programma che si
spacciava per un software di ripristino dell’account sospeso su Whatsapp.
La pagina era scritta in ottimo italiano, e diceva di scaricare e installare,
“seguendo le indicazioni sullo schermo, l’applicazione per la verifica e il
ripristino del tuo account sospeso. Al termine della procedura riceverai un
SMS di conferma sblocco.”
Fin qui niente di speciale, tutto sommato: si tratta di una tecnica classica,
anche se eseguita molto bene. Ma i ricercatori di Google aggiungono un
dettaglio parecchio inquietante: secondo loro, in alcuni casi l’aggressore ha
lavorato insieme al fornitore di accesso Internet della vittima per
disabilitare la sua connettività cellulare. Una volta disabilitata,
l’aggressore mandava via SMS il link di invito a scaricare l’app che avrebbe,
a suo dire, riattivato la connettività cellulare.* Siamo insomma ben lontani
dal crimine organizzato: qui c’è di mezzo, almeno in alcuni casi, la
collaborazione degli operatori telefonici o dei fornitori di accesso a
Internet.
* Nel rapporto originale viene detto soltanto quanto segue:
“In some cases, we believe the actors worked with the target’s ISP to
disable the target’s mobile data connectivity. Once disabled, the attacker
would send a malicious link via SMS asking the target to install an
application to recover their data connectivity.”
Giustamente nei commenti qui sotto si osserva che se la connettività era
disabilitata, non si capisce come la vittima potesse connettersi a Internet
per scaricare l’app-trappola. Forse la connettività era solo limitata
parzialmente, in modo da non far funzionare Internet in generale ma lasciare
aperta la connessione verso il sito che ospitava il malware.
Per eludere le protezioni degli iPhone, che normalmente possono installare
soltanto app approvate e presenti nello store ufficiale di Apple, gli
aggressori usavano il metodo di installazione che si adopera per le app
proprietarie, quello descritto nelle apposite
pagine pubbliche
di Apple. Non solo: gli aggressori davano all’app un certificato di firma
digitale appartenente a una società approvata da Apple, la 3-1 Mobile Srl, per
cui l’app ostile veniva installata sull’iPhone senza alcuna resistenza da
parte delle protezioni Apple, e poi procedeva a estrarre file dal dispositivo,
per esempio il database di WhatsApp.
Per le vittime Android c’era una procedura più semplice: l’app ostile fingeva
di essere della Samsung e veniva installata chiedendo all’utente di abilitare
l’installazione da sorgenti sconosciute, cosa che fanno molti utenti Android.
Il sito degli aggressori non esiste più e gli aggiornamenti di iOS e di
Android hanno bloccato questo spyware, ma il problema di fondo rimane: come
dicono i ricercatori di Google, questi rivenditori di malware
“rendono possibile la proliferazione di strumenti di hacking pericolosi e
forniscono armi a governi che non sarebbero in grado di sviluppare queste
capacità internamente.”
I ricercatori aggiungono che
“Anche se l’uso delle tecnologie di sorveglianza può essere legale in base
a leggi nazionali o internazionali, queste tecnologie vengono spesso usate
dai governi per scopi che sono il contrario dei valori democratici: per
prendere di mira dissidenti, giornalisti, attivisti dei diritti umani e
politici di partiti d’opposizione.”
Ed è per questo che Google, anche se in questo caso si tratta chiaramente di
malware di tipo governativo, interviene e rende pubblici attacchi come questo.
Una volta tanto dal mondo del crimine informatico arriva una buona notizia:
FluBot, uno dei più diffusi malware per smartphone Android, usato per rubare
password e accedere a conti bancari, è stato bloccato da un intervento
coordinato delle forze di polizia di undici paesi.
Lo ha
annunciato
il primo giugno Europol, con un comunicato stampa che non entra nei dettagli
tecnici ma si limita a dire che a
maggio scorso la polizia olandese ha interrotto
l’operatività dell’infrastruttura informatica che gestiva questo malware. Il risultato è che le tante persone che hanno il telefonino
infettato da FluBot non corrono più alcun pericolo.
La storia di FluBot è una delle più spettacolari degli ultimi tempi in campo informatico. Avvistato
inizialmente a dicembre del 2020, questo malware si era propagato rapidamente nel corso del
2021, infettando un numero molto elevato di smartphone Android, con effetti
particolarmente pesanti in Spagna e Finlandia.
La sua tecnica di diffusione
era classica, come avevo raccontato in questo podcast a
ottobre 2021
con un aggiornamento proprio
la settimana scorsa: la vittima riceveva un SMS che fingeva di essere un avviso di tracciamento
di un pacco postale o un messaggio vocale e conteneva un link da cliccare per
installare un’app che, stando all’SMS, era necessaria per tracciare la
spedizione o ascoltare il messaggio vocale.
Ma se la vittima cliccava sul link e installava la presunta app, in realtà
installava FluBot, che prendeva il controllo dello smartphone per rubare
credenziali bancarie, intercettare i codici delle autenticazioni a due fattori
e disabilitare le normali protezioni dei telefonini Android.
FluBot accedeva
poi alla rubrica dei contatti del telefonino infetto e inviava di nascosto a tutti i
contatti degli SMS ingannevoli dello stesso genere per tentare di infettare
altri smartphone. Questo sistema molto semplice gli consentiva di propagarsi
con estrema rapidità e a insaputa delle vittime.
Il danno complessivo causato da FluBot è difficile da quantificare, ma la
polizia olandese
dichiara
di aver scollegato diecimila vittime dalla rete di FluBot e di aver impedito
l’invio di oltre sei milioni e mezzo di SMS che avrebbero tentato di infettare
altrettanti smartphone.
Europol nota che sono state convolte le forze di polizia di Australia, Belgio,
Finlandia, Ungheria, Irlanda, Romania, Svezia, Spagna, Stati Uniti, Olanda e
Svizzera. La polizia spagnola, a marzo 2021, aveva compiuto quattro arresti di
persone sospettate di essere elementi chiave dell’organizzazione criminale che
gestiva FluBot, ma dopo una breve pausa il malware aveva ripreso a diffondersi
ancora più rapidamente. Ora le forze dell’ordine hanno preso il controllo
dell’infrastruttura di FluBot e quindi non c’è più rischio di nuove
propagazioni.
Resta però il problema dei tanti utenti infetti, che probabilmente nemmeno
sanno di essere stati colpiti da FluBot perché questo malware agisce senza
produrre effetti visibili. Se avete cliccato sul link in un SMS che vi
chiedeva di installare un’app e ora avete sullo smartphone un’app che non si
apre quando la toccate e produce un messaggio di errore se tentate di
disinstallarla, potrebbe trattarsi di FluBot, spiega Europol, che ha un
consiglio piuttosto drastico per chi sospetta di essere stato infettato: fare
un ripristino di fabbrica del telefonino, che sicuramente rimuoverà
l’eventuale malware ma comporterà la perdita di tutti i dati non salvati su
supporti esterni. Maggiori dettagli su come procedere sono disponibili in
questo tutorial video
e in
queste istruzioni
dell’operatore telefonico svizzero Salt.
Fonti aggiuntive:
HelpNetSecurity, BleepingComputer,
AFP.
Tutti parlano di Squid Game, la serie coreana distribuita da Netflix, e
questa popolarità ha attirato l’interesse dei truffatori.
Circolano finte app Android che fingono di essere sfondi a tema
Squid Game ma in realtà installano malware, come nota
Lukas Stefanko
di ESET. Oltre
200 app
in Google Play usano il nome della serie senza però esservi associate
ufficialmente e fanno soldi attraverso le pubblicità in-app. Va ricordato che
non esiste nessuna app ufficiale della serie.
Secondo
Kaspersky
(a 29 minuti dall’inizio del podcast), una di queste app fraudolente è stata
scaricata oltre un milione di volte e attiva di nascosto abbonamenti a servizi
SMS premium a pagamento, i cui incassi vanno ai gestori dell’app, oppure
rubano dati o password.
Altre segnalazioni riguardano app che dicono di consentire di vedere una
puntata della serie, ma non sono ospitate da Google Play, oppure sono app che fingono di essere giochi legati alla serie ma in realtà mostrano solo un’animazione intanto che si fanno dare i dati degli utenti (o li rubano). Ci sono anche finti
negozi ufficiali che rifilano fregature a chi abbocca. Non cascateci.
Fonti aggiuntive:
PC Mag,
Punto Informatico,
Itechpost, TechRepublic,
Tomsguide.
Il
Centro nazionale per la cibersicurezza
svizzero (NCSC) ha pubblicato pochi giorni fa un avviso che segnala il ritorno
di Emotet, un malware che il Centro non esita a definire
“il malware più pericoloso al mondo”.
Si parla di ritorno perché a gennaio 2021 Europol aveva
annunciato
un’importante operazione contro Emotet che aveva permesso di mettere offline i
server di comando e controllo e di smantellare la botnet associata a
questo malware.
Ma l’NCSC riferisce che
“negli ultimi giorni esperti di sicurezza di tutto il mondo hanno segnalato
nuovi attacchi perpetrati con questo malware. Da un paio di giorni Emotet è
presente anche in Svizzera.”
Gli attacchi si basano sull’invio di mail con
“allegati Excel contenenti macro nocive” e i mittenti hanno indirizzi
con dominio .ch. Il Centro raccomanda pertanto di
“di bloccare subito i documenti di Microsoft Office sui gateway di posta
elettronica (.xlsm, .docm)”.
Un elenco dei siti infettati da Emotet è disponibile
qui presso Abuse.ch.
Emotet è nato come trojan dedicato alla penetrazione dei sistemi informatici
delle vittime con lo scopo di ottenere le credenziali di accesso ai loro conti
bancari, ma con il passare del tempo i suoi vari gestori lo hanno trasformato
in un cosiddetto dropper: un malware che fa da puro agente di
penetrazione e poi, una volta arrivato a destinazione, scarica il malware vero
e proprio.
Ê anche nato un vero e proprio mercato di compravendita dei siti infettati:
spesso un gruppo criminale usa Emotet per entrare in un sistema informatico e
poi ne vende il controllo a un altro gruppo, e così via: l’ultimo della catena
di acquisti lo usa poi per installare un classico ransomware che cifra
i dati della vittima, alla quale viene poi chiesto un riscatto per sbloccare i
dati.
Emotet viene considerato particolarmente pericoloso anche perché il suo
aspetto può ingannare anche un utente piuttosto smaliziato.
This is what it looks like out of the box on Windows 11. How on Earth is the
user supposed to know this is malicious?Trusted App ✅
Publisher
Adobe Inc pic.twitter.com/eEntoWgCch— Kevin Beaumont (@GossiTheDog)
December 1, 2021
L’NCSC prosegue dicendo che una volta che Emotet è entrato in un sistema
informatico
“è quasi impossibile liberarsene. Ha un’elevata capacità di adattamento ed
è ad esempio in grado di leggere i contatti e i contenuti delle e-mail nelle
caselle di posta elettronica dei sistemi infetti”. I dati raccolti con questa tecnica consentono di
“lanciare altri attacchi. Le nuove vittime ricevono e-mail fasulle
apparentemente inviate da collaboratori, soci d’affari o conoscenti e
vengono convinte ad aprire un documento Word e ad attivare le macro
Office.”
Paradossalmente, le reti informatiche che maggiormente ospitano i siti di
distribuzione di malware sono proprio quelle di Microsoft, come segnala
Abuse.ch:
The top networks hosting malware distribution sites in November 2021
were…6’961 MICROSOFT 🇺🇸
5’031 CHINA169 🇨🇳
1’973
CHINANET 🇨🇳
1’894 BSNL 🇮🇳
1’177 UNIFIEDLAYER 🇺🇸
900 WIND
Telecom 🇩🇴
698 PUBLIC-DOMAIN-REGISTRY 🇮🇳
591 GOOGLE 🇺🇸
374
ALIBABA 🇨🇳
311 DROPBOX 🇺🇸— abuse.ch (@abuse_ch)
December 1, 2021
Il Centro nazionale per la cibersicurezza propone infine dei consigli per
proteggersi da Emotet:
- Siate prudenti anche quando ricevete e-mail da mittenti apparentemente
noti, in particolare se contengono allegati e link.- Se sospettate che l’e-mail è fasulla contattate direttamente il mittente
per verificare l’attendibilità del contenuto.- Bloccate i documenti Office contenenti macro sui programmi di posta
elettronica e proxy.- Installate subito tutti gli aggiornamenti di sicurezza disponibili per i
sistemi operativi, i browser, client di posta elettronica e programmi di
Office.- Proteggete gli accessi VPN tramite un’autenticazione a due fattori e
installate le patch su tutti i dispositivi esposti.- Effettuate regolarmente un backup dei dati su un supporto di archiviazione
esterno e custoditelo offline.- Conservate almeno due generazioni di backup.
- Le imprese dovrebbero continuamente sorvegliare gli attacchi sulle proprie
reti.- Inviate le e-mail nocive a
reports@antiphishing.ch oppure
segnalatele al
servizio di contatto dell’NCSC tramite l’apposito modulo.
Comunicazione di servizio: nei giorni scorsi un paio di commentatori arrivati da poco hanno intavolato una polemica. Dopo ripetuti avvisi, li ho bannati. Così sono rientrati con altri account, tentando di continuare la polemica e sfottendomi. Bannati una seconda volta, hanno creato un terzo account, ripartendo con i loro rantoli. Ban immediato anche di quelli.
Poi hanno iniziato a insultare e provocare mandandomi mail. Evidentemente facevano fatica a capire il concetto di moderazione (e non solo quello). Ora sono nel mio killfile, insieme a tanti altri, così non li vedo del tutto e i loro messaggi vengono cestinati automaticamente.
Di imbecilli litigiosi come loro ne ricevo tanti, tutti i giorni, e li cestino spesso prima che li vediate. Poi ci sono gli spammer. E poi oggi è arrivato il Genio che ha pensato bene di postare su questo blog un commento con un link a un “generatore di green pass EU”.
Che ovviamente è un malware, riconosciuto da Virustotal:
Quindi per favore, siate parsimoniosi nel linkare oggetti esterni, perché io controllo tutti i link prima della pubblicazione.
E se siete polemisti, statevene direttamente a casa vostra e non venite qui a romper l’anima. Tanto otterrete soltanto un ban immediato, il vostro commento verrà cestinato e mi dimenticherò di voi nel giro di trenta secondi.
Per questo mi scuso se a volte la pubblicazione dei commenti è lenta e se tronco sul nascere qualunque minimo accenno a idiozie complottiste o polemiche personali: controllo e approvo tutti i commenti, uno per uno, per tenere fuori spammer e imbecilli e tenere alto il livello della conversazione per i tanti che partecipano commentando costruttivamente.
Le opinioni differenti e documentate sono sempre ben accette. Invece le stronzate, le polemiche e le aggressioni verranno cestinate senza pietà.
Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico) o altri metodi.
A gennaio scorso avevo segnalato che un intervento coordinato di varie forze dell’ordine in numerosi paesi aveva messo fuori uso Emotet, uno dei malware più diffusi, che da solo era responsabile di circa il 30% di tutti gli attacchi informatici.
La tecnica era classica: un documento Word, che molti utenti ritengono innocuo, conteneva il malware, che veniva lanciato se la vittima apriva il documento e attivava le macro in Microsoft Word.
Ora è arrivata la conclusione dell’intervento di polizia: il 25 aprile scorso i computer che erano stati infettati da Emotet hanno cancellato il malware. Questo è stato possibile perché le forze di polizia avevano preso il controllo degli aggiornamenti di Emotet e ne avevano diffuso uno autodistruttivo.
Alla scadenza impostata, appunto il 25 aprile, è scattata l’autodistruzione. Il portale dedicato ad Emotet presso Abuse.ch indica ora zero computer infetti, che è un risultato notevolissimo, considerato che Emotet aveva preso il controllo di oltre un milione di computer in tutto il mondo, generando incassi illegali per oltre 2 miliardi di dollari.
Va notato che in un intervento come questo le forze di polizia in sostanza aggiornano forzatamente i computer infettati, senza chiedere il consenso dei rispettivi proprietari, ponendo interrogativi sulla legalità di questa tecnica, indubbiamente efficace ma potenzialmente pericolosa. Ovviamente in questo caso nessun protesta, però è formalmente un’intrusione.
Anche l’FBI di recente ha usato lo stesso approccio per ripulire a forza i server Microsoft Exchange infettati da una serie di attacchi denominati Hafnium, visto che i legittimi proprietari di questi server si ostinavano a non aggiornarli.
Una buona notizia dal mondo del malware: è stato messo fuori uso Emotet, uno dei
malware più diffusi del pianeta, responsabile di circa il 30% di tutti gli
attacchi informatici degli ultimi anni.
Già questo è un bel risultato, ma c’è di meglio, perché le forze dell’ordine
di vari paesi, coordinate da Europol ed Eurojust, che hanno
messo a segno
questo successo hanno preso le redini del sistema usato per controllare il
malware e lo useranno per ripulire i computer delle vittime il prossimo 25
aprile.
Emotet circolava dal 2014, evolvendosi e aggiornandosi. Colpiva solitamente
tramite allegati Word infetti: se chi li riceveva li apriva e attivava le
macro, sul suo computer veniva scaricato automaticamente Emotet, che si
installava e poi scaricava altro malware, tentando di diffondersi nella rete
locale della vittima. Un sistema semplice e classico, ma molto efficace. Ogni
giorno i gestori di Emotet spedivano circa mezzo milione di mail infette, e
per la legge dei grandi numeri c’era sempre qualcuno che ci cascava.
Emotet era una sorta di piede di porco: scardinava la porta d’ingresso in modo
che potessero entrare gli altri componenti dell’attacco. A seconda dei casi,
potevano essere programmi per il furto di dati, trojan per il comando
remoto, o ransomware per bloccare i computer o l’accesso ai dati della
vittima e chiedere un riscatto per riattivarli.
Video clip from the big Emotet malware takedown this week. Notice the gold bars. Video source: National Police of Ukraine pic.twitter.com/obBk3YxvWl
— @mikko (@mikko) January 27, 2021
Questo malware era polimorfico, ossia cambiava il proprio codice in
continuazione, per cui molti antivirus faticavano a riconoscerlo.
Se volete sapere se il vostro indirizzo di mail è stato compromesso da Emotet,
potete consultare
questa pagina del sito della polizia olandese, che ha materialmente sequestrato due dei tre centri di controllo di Emotet,
situati nei Paesi Bassi, trovando un archivio di circa 600.000 indirizzi di
mail con relative password.
La polizia olandese ha ora preso il comando di questi centri di controllo e li
ha usati per diffondere a tutti i computer infettati una versione modificata
di Emotet, che si disinstallerà automaticamente il 25 aprile.
Come mai si aspetta così a lungo invece di disinstallarlo subito? Perché in
questo modo le aziende colpite hanno il tempo di effettuare controlli interni
alla ricerca di eventuali altri malware installati da Emotet.
Evitare questo genere di attacco richiede precauzioni semplici e banali:
tenere sempre aggiornati i propri antivirus e gli altri software di
protezione, fare sempre gli aggiornamenti dei sistemi operativi e delle
applicazioni, usare password differenti e difficili, e diffidare degli
allegati non richiesti. Ma soprattutto non bisogna mai, mai, mai abilitare le
macro nei documenti Word, a meno che si sia sicurissimi dell’affidabilità
della fonte e ci sia una ragione plausibile e importante per abilitarle.
In questo video della polizia ucraìna si vede quella che dovrebbe essere una delle sedi usate dai criminali per gestire Emotet appunto in Ucraìna. È parecchio diversa dal covo asettico di supercattivi della mitologia informatica. Computer accatastati e semiaperti, in equilibrio precario, e Windows 7 SP1.
Fonti aggiuntive:
Tripwire
(che indica erroneamente il 25 marzo),
ZDNet.