Se giocate a Minecraft su computer Windows o Linux e siete appassionati di modding, ossia dell’aggiunta o modifica di funzioni, oggetti, ambienti e altro ancora al gioco di base, vi conviene fare più attenzione del solito a cosa scaricate e da dove lo scaricate.

Ai primi di giugno, infatti, due fra le più importanti piattaforme di distribuzione di queste modifiche, o mod, sono state attaccate, violando vari account, e molte mod e molti plugin per Minecraft disponibili tramite queste piattaforme sono stati infettati e distribuiti agli utenti.

Il risultato è che chi ha scaricato modpack molto popolari, come Better Minecraft, che ha oltre quattro milioni e mezzo di download, può trovarsi con il computer infetto da un malware che ruba le credenziali di accesso salvate nei browser e quelle degli account Minecraft, Microsoft e Discord e si insedia permanentemente sul computer, aggiornandosi man mano.

Le piattaforme di modding prese di mira sono CurseForge e Bukkit, e l’elenco di mod e modpack infettate è piuttosto lungo (lo trovate per esempio su BleepingComputer.com) e non si sa se sia completo. 

Per evitare panico inutile, soprattutto fra i giocatori più giovani e i loro genitori, è importante sottolineare che il problema riguarda esclusivamente chi ha installato modifiche a Minecraft e usa computer Windows o Linux. Chi gioca semplicemente a Minecraft di base e usa altri dispositivi non basati su Windows o Linux non è coinvolto in questo problema.

Ma per chi ama il modding e usa questi sistemi operativi il danno è molto serio, anche in termini di fiducia. Gli aggressori informatici hanno infatti preso di mira siti attendibili, come appunto CurseForge e Bukkit, e li hanno indotti a distribuire il loro malware, denominato Fractureiser. Per prima cosa hanno preso il controllo di alcuni account su queste piattaforme e hanno inserito del codice ostile nei plugin e nelle mod offerte da questi account. Poi questi software modificati e infetti sono stati adottati automaticamente da vari modpack molto popolari e quindi sono stati distribuiti automaticamente agli utenti fino al momento in cui sono intervenuti i gestori di queste piattaforme e hanno ripulito i propri sistemi.

Chi ha scaricato ed eseguito una di queste mod infette, distribuite più o meno nelle ultime tre settimane, ha probabilmente infettato il proprio computer. Fortunatamente ci sono degli script di scansione per Windows e per Linux che rilevano i sintomi di un’infezione; in alternativa è possibile controllare manualmente se il Registro di Windows è stato alterato o se ci sono altri file ostili sul computer.

I principali antivirus si stanno già aggiornando per rilevare questi sintomi, per cui se avete dubbi conviene aspettare ancora qualche ora e poi aggiornare il vostro antivirus e rifare una scansione completa.

Se purtroppo scoprite di avere il computer infetto, è consigliabile reinstallare il sistema operativo e cambiare tutte le proprie password, partendo subito da quelle dei servizi più interessanti per i criminali, ossia quelle che proteggono criptovalute, caselle di mail e conti correnti.

Maggiori dettagli tecnici sul malware Fractureiser e sulla tecnica di attacco dei criminali informatici sono disponibili sul già citato BleepingComputer e su Tripwire [anche su CurseForge, Hackmd.io, Prismlauncher.org e Github]. Una delle piattaforme colpite, CurseForge, ha inoltre pubblicato una descrizione approfondita delle varie fasi di questo attacco mirato e sofisticato e delle misure di protezione da adottare.

Questo attacco è particolarmente interessante, perché sovverte uno dei consigli di sicurezza più frequenti, ossia quello di scaricare solo software da siti attendibili, e lo usa per abbassare le difese degli utenti, perché sfrutta proprio questi siti di cui l’utente si fida. Qui le vittime non sono giocatori incauti che hanno scaricato software da siti sconosciuti e senza garanzie; sono persone che si sono rivolte a piattaforme universalmente considerate sicure.

Inoltre l’attacco prende di mira una categoria di utenti che è solitamente meno attenta di altre alla sicurezza informatica, cioè i gamer giovani e giovanissimi, che probabilmente non si aspettano di essere attaccati, specialmente da qualcosa che scaricano da un sito di ottima reputazione. Sui loro computer spesso ci sono informazioni e password non solo loro, ma anche di altri membri della famiglia, che valgono soldi per i criminali. 

Ancora una volta, insomma, la sicurezza informatica si conferma un problema che tocca tutti. Nessuno può permettersi il lusso di dire “ma chi vuoi che se la prenda con me, io non ho niente che interessi ai ladri”. È proprio su questo modo di pensare che contano quei ladri.

Pensavo che sarebbe stato un tranquillo lunedì post-pasquale, ma non è andata così: ho ricevuto da Blogger.com degli avvisi di malware e contenuti sensibili a proposito di quattro articoli postati sul blog Undicisettembre, e ci ho perso un paio d’ore a capirne il senso, per cui racconto qui la vicenda, visto che la stessa cosa potrebbe capitare ad altri utenti di Blogger.com.

A me e ai coautori di Undicisettembre sono arrivate varie mail da Blogger.com di questo tenore:

Oggetto: È stata annullata la pubblicazione del post intitolato "World Trade Center: an interview with doctor Emil Chynn"

Ciao,

Come forse già saprai, le nostre Norme della community (https://blogger.com/go/contentpolicy) descrivono i limiti di ciò che consentiamo, e non consentiamo, su Blogger. Abbiamo ricevuto una richiesta di revisione per il tuo post intitolato "World Trade Center: intervista con il medico Emil Chynn". Abbiamo stabilito che viola le nostre norme e abbiamo annullato la pubblicazione dell'URL http://undicisettembre.blogspot.com/2015/03/world-trade-center-intervista-con-il.html, rendendolo non disponibile per i lettori del blog.

Perché la pubblicazione del tuo post del blog è stata annullata?

I tuoi contenuti hanno violato le nostre norme relative a malware e virus.

Per pubblicare nuovamente il post, aggiorna i contenuti per fare in modo che aderiscano alle Norme della community di Blogger. Dopo averli aggiornati, puoi pubblicare nuovamente i contenuti all'indirizzo https://www.blogger.com/go/appeal-post?blogId=30572427&postId=4534350815789526070. Questo comporterà una revisione del post.

Per ulteriori informazioni, consulta le seguenti risorse:

Termini di servizio: https://www.blogger.com/go/terms

Norme della community di Blogger: https://blogger.com/go/contentpolicy

Cordiali saluti,

Il team di Blogger

Il post risaliva a otto anni fa e da allora non era mai stato aggiornato, per cui non era chiaro quale fosse il problema di “malware e virus”. E purtroppo Blogger.com non indica con precisione dove si trovi il problema, per cui rimediare non è intuitivo.

Alla fine, dopo aver spulciato tutto l’HTML del post, ho scoperto che il problema era il link al sito del medico intervistato, il cui nome di dominio era stato probabilmente lasciato scadere dal medico ed era stato rilevato da truffatori, che vi avevano installato del malware. E così un innocuo articolo di intervista a un medico era diventato un articolo che linkava un sito di malware.

Ho rimosso il link e nel giro di pochi minuti è arrivato lo sblocco:

Ciao,
Abbiamo rivalutato il post intitolato "World Trade Center: an interview with doctor Emil Chynn" in base alle Norme della community https://blogger.com/go/contentpolicy. Dopo la revisione, il post è stato reintegrato. Puoi accedere al post all'indirizzo http://undicisettembre.blogspot.com/2015/03/world-trade-center-interview-with.html.
Cordiali saluti,
Il team di Blogger

La stessa cosa (segnalazione di “malware e virus”, modifica e reintegro immediato) è successa con la versione italiana dello stesso post e con un altro articolo del 2008 dello stesso blog, nel quale c‘era un link a un sito complottista il cui nome di dominio era probabilmente passato in mani ostili e linkava malware. Anche qui, rimuovendo il link originale e puntando a una copia del sito complottista archiviate su Archive.org nel 2008 la questione di è risolta.

È andata un po’ diversamente con un altro articolo, risalente al 2007, che però non conteneva link diventati pericolosi ed era stato segnalato non per malware ma perché includeva “contenuti sensibili” e  quindi era leggibile soltanto dopo aver cliccato su un avviso:

Ciao,

Come forse già saprai, le nostre Norme della community (https://blogger.com/go/contentpolicy) descrivono i limiti di ciò che consentiamo, e non consentiamo, su Blogger. Abbiamo ricevuto una richiesta di revisione per il tuo post intitolato "UPS on the 81st Floor of WTC2?". Questo post sarà preceduto da un messaggio di avviso per i lettori in quanto include contenuti sensibili; il post è visibile all'indirizzo http://undicisettembre.blogspot.com/2007/06/ups-on-81st-floor-of-wtc2.html. I lettori del tuo blog devono confermare di aver preso visione del messaggio di avviso prima di poter leggere il post/blog.

Applichiamo messaggi di avviso ai post che includono contenuti sensibili. Se vuoi che lo stato venga rivisto, aggiorna i contenuti per fare in modo che aderiscano alle Norme della community di Blogger. Dopo averli aggiornati, puoi pubblicare nuovamente i contenuti all'indirizzo https://www.blogger.com/go/appeal-post?blogId=30572427&postId=5650836036677339665. Questo comporterà una revisione del post.
Per ulteriori informazioni, consulta le seguenti risorse:
Termini di servizio: https://www.blogger.com/go/terms  
Norme della community di Blogger: https://blogger.com/go/contentpolicy
Cordiali saluti,
Il team di Blogger

Anche in questo caso, Blogger.com non ha specificato quali fossero i “contenuti sensibili”, rendendo difficile risolvere il problema. Erano probabilmente due immagini del World Trade Center in fiamme, ma non lo so per certo, perché mi sono limitato a riformattare l’HTML dell’articolo e ho ricevuto subito una mail di notifica del reintegro del post.

Tutto è bene quel che finisce bene, ma sarebbe gradevole se Blogger.com avesse la cortesia di fornire dettagli invece di limitarsi a dire “in questo post c’è qualcosa che non va”.

Questo articolo è disponibile anche in versione podcast audio.

È un po’ di tempo che si parla poco di spyware, ossia dei software che permettono di tracciare o spiare una persona a sua insaputa. Google ha pubblicato un rapporto del proprio gruppo di analisi delle minacce (Threat Analysis Group) che fa il punto della situazione sulle aziende che fabbricano spyware e lo vendono ad operatori sostenuti da vari governi. I ricercatori segnalano che sette delle nove vulnerabilità più gravi, le cosiddette zero day, scoperte da loro nel 2021 sono state sviluppate da fornitori commerciali e vendute a questi operatori governativi.

Una volta tanto si fanno i nomi e i cognomi e viene presentato un caso specifico e molto vicino a noi: quello di RCS Labs, un rivenditore italiano al quale gli esperti di Google attribuiscono queste capacità di sorveglianza sofisticata, indicando di aver anche identificato “vittime situate in Italia e in Kazakistan”.

Secondo il rapporto, gli attacchi di questo spyware iniziavano con un link univoco che veniva inviato alla vittima. Se la vittima vi cliccava sopra, veniva portata a una specifica pagina web, www.fb-techsupport[.]com, che sembrava essere il Centro assistenza di Facebook e cercava di convincere la vittima a scaricare e installare su Android o iOS un programma che si spacciava per un software di ripristino dell’account sospeso su Whatsapp.

La pagina era scritta in ottimo italiano, e diceva di scaricare e installare, “seguendo le indicazioni sullo schermo, l’applicazione per la verifica e il ripristino del tuo account sospeso. Al termine della procedura riceverai un SMS di conferma sblocco.”

Fin qui niente di speciale, tutto sommato: si tratta di una tecnica classica, anche se eseguita molto bene. Ma i ricercatori di Google aggiungono un dettaglio parecchio inquietante: secondo loro, in alcuni casi l’aggressore ha lavorato insieme al fornitore di accesso Internet della vittima per disabilitare la sua connettività cellulare. Una volta disabilitata, l’aggressore mandava via SMS il link di invito a scaricare l’app che avrebbe, a suo dire, riattivato la connettività cellulare.* Siamo insomma ben lontani dal crimine organizzato: qui c’è di mezzo, almeno in alcuni casi, la collaborazione degli operatori telefonici o dei fornitori di accesso a Internet.

* Nel rapporto originale viene detto soltanto quanto segue: “In some cases, we believe the actors worked with the target’s ISP to disable the target’s mobile data connectivity. Once disabled, the attacker would send a malicious link via SMS asking the target to install an application to recover their data connectivity.” Giustamente nei commenti qui sotto si osserva che se la connettività era disabilitata, non si capisce come la vittima potesse connettersi a Internet per scaricare l’app-trappola. Forse la connettività era solo limitata parzialmente, in modo da non far funzionare Internet in generale ma lasciare aperta la connessione verso il sito che ospitava il malware.

Per eludere le protezioni degli iPhone, che normalmente possono installare soltanto app approvate e presenti nello store ufficiale di Apple, gli aggressori usavano il metodo di installazione che si adopera per le app proprietarie, quello descritto nelle apposite pagine pubbliche di Apple. Non solo: gli aggressori davano all’app un certificato di firma digitale appartenente a una società approvata da Apple, la 3-1 Mobile Srl, per cui l’app ostile veniva installata sull’iPhone senza alcuna resistenza da parte delle protezioni Apple, e poi procedeva a estrarre file dal dispositivo, per esempio il database di WhatsApp.

Per le vittime Android c’era una procedura più semplice: l’app ostile fingeva di essere della Samsung e veniva installata chiedendo all’utente di abilitare l’installazione da sorgenti sconosciute, cosa che fanno molti utenti Android.

Il sito degli aggressori non esiste più e gli aggiornamenti di iOS e di Android hanno bloccato questo spyware, ma il problema di fondo rimane: come dicono i ricercatori di Google, questi rivenditori di malware “rendono possibile la proliferazione di strumenti di hacking pericolosi e forniscono armi a governi che non sarebbero in grado di sviluppare queste capacità internamente.” I ricercatori aggiungono che “Anche se l’uso delle tecnologie di sorveglianza può essere legale in base a leggi nazionali o internazionali, queste tecnologie vengono spesso usate dai governi per scopi che sono il contrario dei valori democratici: per prendere di mira dissidenti, giornalisti, attivisti dei diritti umani e politici di partiti d’opposizione.”

Ed è per questo che Google, anche se in questo caso si tratta chiaramente di malware di tipo governativo, interviene e rende pubblici attacchi come questo.

Una volta tanto dal mondo del crimine informatico arriva una buona notizia: FluBot, uno dei più diffusi malware per smartphone Android, usato per rubare password e accedere a conti bancari, è stato bloccato da un intervento coordinato delle forze di polizia di undici paesi.

Lo ha annunciato il primo giugno Europol, con un comunicato stampa che non entra nei dettagli tecnici ma si limita a dire che a maggio scorso la polizia olandese ha interrotto l’operatività dell’infrastruttura informatica che gestiva questo malware. Il risultato è che le tante persone che hanno il telefonino infettato da FluBot non corrono più alcun pericolo.

La storia di FluBot è una delle più spettacolari degli ultimi tempi in campo informatico. Avvistato inizialmente a dicembre del 2020, questo malware si era propagato rapidamente nel corso del 2021, infettando un numero molto elevato di smartphone Android, con effetti particolarmente pesanti in Spagna e Finlandia. 

La sua tecnica di diffusione era classica, come avevo raccontato in questo podcast a ottobre 2021 con un aggiornamento proprio la settimana scorsa: la vittima riceveva un SMS che fingeva di essere un avviso di tracciamento di un pacco postale o un messaggio vocale e conteneva un link da cliccare per installare un’app che, stando all’SMS, era necessaria per tracciare la spedizione o ascoltare il messaggio vocale.

Ma se la vittima cliccava sul link e installava la presunta app, in realtà installava FluBot, che prendeva il controllo dello smartphone per rubare credenziali bancarie, intercettare i codici delle autenticazioni a due fattori e disabilitare le normali protezioni dei telefonini Android. 

FluBot accedeva poi alla rubrica dei contatti del telefonino infetto e inviava di nascosto a tutti i contatti degli SMS ingannevoli dello stesso genere per tentare di infettare altri smartphone. Questo sistema molto semplice gli consentiva di propagarsi con estrema rapidità e a insaputa delle vittime.

Il danno complessivo causato da FluBot è difficile da quantificare, ma la polizia olandese dichiara di aver scollegato diecimila vittime dalla rete di FluBot e di aver impedito l’invio di oltre sei milioni e mezzo di SMS che avrebbero tentato di infettare altrettanti smartphone.

Europol nota che sono state convolte le forze di polizia di Australia, Belgio, Finlandia, Ungheria, Irlanda, Romania, Svezia, Spagna, Stati Uniti, Olanda e Svizzera. La polizia spagnola, a marzo 2021, aveva compiuto quattro arresti di persone sospettate di essere elementi chiave dell’organizzazione criminale che gestiva FluBot, ma dopo una breve pausa il malware aveva ripreso a diffondersi ancora più rapidamente. Ora le forze dell’ordine hanno preso il controllo dell’infrastruttura di FluBot e quindi non c’è più rischio di nuove propagazioni.

Resta però il problema dei tanti utenti infetti, che probabilmente nemmeno sanno di essere stati colpiti da FluBot perché questo malware agisce senza produrre effetti visibili. Se avete cliccato sul link in un SMS che vi chiedeva di installare un’app e ora avete sullo smartphone un’app che non si apre quando la toccate e produce un messaggio di errore se tentate di disinstallarla, potrebbe trattarsi di FluBot, spiega Europol, che ha un consiglio piuttosto drastico per chi sospetta di essere stato infettato: fare un ripristino di fabbrica del telefonino, che sicuramente rimuoverà l’eventuale malware ma comporterà la perdita di tutti i dati non salvati su supporti esterni. Maggiori dettagli su come procedere sono disponibili in questo tutorial video e in queste istruzioni dell’operatore telefonico svizzero Salt.

Fonti aggiuntive: HelpNetSecurity, BleepingComputer, AFP.

Il Centro nazionale per la cibersicurezza svizzero (NCSC) ha pubblicato pochi giorni fa un avviso che segnala il ritorno di Emotet, un malware che il Centro non esita a definire “il malware più pericoloso al mondo”.

Si parla di ritorno perché a gennaio 2021 Europol aveva annunciato un’importante operazione contro Emotet che aveva permesso di mettere offline i server di comando e controllo e di smantellare la botnet associata a questo malware.

Ma l’NCSC riferisce che “negli ultimi giorni esperti di sicurezza di tutto il mondo hanno segnalato nuovi attacchi perpetrati con questo malware. Da un paio di giorni Emotet è presente anche in Svizzera.” Gli attacchi si basano sull’invio di mail con “allegati Excel contenenti macro nocive” e i mittenti hanno indirizzi con dominio .ch. Il Centro raccomanda pertanto di “di bloccare subito i documenti di Microsoft Office sui gateway di posta elettronica (.xlsm, .docm)”.

Un elenco dei siti infettati da Emotet è disponibile qui presso Abuse.ch.

Emotet è nato come trojan dedicato alla penetrazione dei sistemi informatici delle vittime con lo scopo di ottenere le credenziali di accesso ai loro conti bancari, ma con il passare del tempo i suoi vari gestori lo hanno trasformato in un cosiddetto dropper: un malware che fa da puro agente di penetrazione e poi, una volta arrivato a destinazione, scarica il malware vero e proprio.

Ê anche nato un vero e proprio mercato di compravendita dei siti infettati: spesso un gruppo criminale usa Emotet per entrare in un sistema informatico e poi ne vende il controllo a un altro gruppo, e così via: l’ultimo della catena di acquisti lo usa poi per installare un classico ransomware che cifra i dati della vittima, alla quale viene poi chiesto un riscatto per sbloccare i dati.

Emotet viene considerato particolarmente pericoloso anche perché il suo aspetto può ingannare anche un utente piuttosto smaliziato.

This is what it looks like out of the box on Windows 11. How on Earth is the user supposed to know this is malicious?

Trusted App ✅
Publisher Adobe Inc pic.twitter.com/eEntoWgCch

— Kevin Beaumont (@GossiTheDog) December 1, 2021

L’NCSC prosegue dicendo che una volta che Emotet è entrato in un sistema informatico “è quasi impossibile liberarsene. Ha un’elevata capacità di adattamento ed è ad esempio in grado di leggere i contatti e i contenuti delle e-mail nelle caselle di posta elettronica dei sistemi infetti”. I dati raccolti con questa tecnica consentono di “lanciare altri attacchi. Le nuove vittime ricevono e-mail fasulle apparentemente inviate da collaboratori, soci d’affari o conoscenti e vengono convinte ad aprire un documento Word e ad attivare le macro Office.”

Paradossalmente, le reti informatiche che maggiormente ospitano i siti di distribuzione di malware sono proprio quelle di Microsoft, come segnala Abuse.ch:

The top networks hosting malware distribution sites in November 2021 were...

6'961 MICROSOFT 🇺🇸
5'031 CHINA169 🇨🇳
1'973 CHINANET 🇨🇳
1'894 BSNL 🇮🇳
1'177 UNIFIEDLAYER 🇺🇸
900 WIND Telecom 🇩🇴
698 PUBLIC-DOMAIN-REGISTRY 🇮🇳
591 GOOGLE 🇺🇸
374 ALIBABA 🇨🇳
311 DROPBOX 🇺🇸

— abuse.ch (@abuse_ch) December 1, 2021

Il Centro nazionale per la cibersicurezza propone infine dei consigli per proteggersi da Emotet:

• Siate prudenti anche quando ricevete e-mail da mittenti apparentemente noti, in particolare se contengono allegati e link.
• Se sospettate che l’e-mail è fasulla contattate direttamente il mittente per verificare l’attendibilità del contenuto.
• Bloccate i documenti Office contenenti macro sui programmi di posta elettronica e proxy.
• Installate subito tutti gli aggiornamenti di sicurezza disponibili per i sistemi operativi, i browser, client di posta elettronica e programmi di Office.
• Proteggete gli accessi VPN tramite un’autenticazione a due fattori e installate le patch su tutti i dispositivi esposti.
• Effettuate regolarmente un backup dei dati su un supporto di archiviazione esterno e custoditelo offline.
• Conservate almeno due generazioni di backup.
• Le imprese dovrebbero continuamente sorvegliare gli attacchi sulle proprie reti.
• Inviate le e-mail nocive a reports@antiphishing.ch oppure segnalatele al servizio di contatto dell’NCSC tramite l’apposito modulo.

Comunicazione di servizio: nei giorni scorsi un paio di commentatori arrivati da poco hanno intavolato una polemica. Dopo ripetuti avvisi, li ho bannati. Così sono rientrati con altri account, tentando di continuare la polemica e sfottendomi. Bannati una seconda volta, hanno creato un terzo account, ripartendo con i loro rantoli. Ban immediato anche di quelli.

Poi hanno iniziato a insultare e provocare mandandomi mail. Evidentemente facevano fatica a capire il concetto di moderazione (e non solo quello). Ora sono nel mio killfile, insieme a tanti altri, così non li vedo del tutto e i loro messaggi vengono cestinati automaticamente.

Di imbecilli litigiosi come loro ne ricevo tanti, tutti i giorni, e li cestino spesso prima che li vediate. Poi ci sono gli spammer. E poi oggi è arrivato il Genio che ha pensato bene di postare su questo blog un commento con un link a un “generatore di green pass EU”.

Che ovviamente è un malware, riconosciuto da Virustotal:

Quindi per favore, siate parsimoniosi nel linkare oggetti esterni, perché io controllo tutti i link prima della pubblicazione.

E se siete polemisti, statevene direttamente a casa vostra e non venite qui a romper l’anima. Tanto otterrete soltanto un ban immediato, il vostro commento verrà cestinato e mi dimenticherò di voi nel giro di trenta secondi.

Per questo mi scuso se a volte la pubblicazione dei commenti è lenta e se tronco sul nascere qualunque minimo accenno a idiozie complottiste o polemiche personali: controllo e approvo tutti i commenti, uno per uno, per tenere fuori spammer e imbecilli e tenere alto il livello della conversazione per i tanti che partecipano commentando costruttivamente.

Le opinioni differenti e documentate sono sempre ben accette. Invece le stronzate, le polemiche e le aggressioni verranno cestinate senza pietà.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico) o altri metodi.

Circolano finte app Android che fingono di essere sfondi a tema Squid Game ma in realtà installano malware, come nota Lukas Stefanko di ESET. Oltre 200 app in Google Play usano il nome della serie senza però esservi associate ufficialmente e fanno soldi attraverso le pubblicità in-app. Va ricordato che non esiste nessuna app ufficiale della serie. 

Secondo Kaspersky (a 29 minuti dall’inizio del podcast), una di queste app fraudolente è stata scaricata oltre un milione di volte e attiva di nascosto abbonamenti a servizi SMS premium a pagamento, i cui incassi vanno ai gestori dell’app, oppure rubano dati o password.

Altre segnalazioni riguardano app che dicono di consentire di vedere una puntata della serie, ma non sono ospitate da Google Play, oppure sono app che fingono di essere giochi legati alla serie ma in realtà mostrano solo un’animazione intanto che si fanno dare i dati degli utenti (o li rubano). Ci sono anche finti negozi ufficiali che rifilano fregature a chi abbocca. Non cascateci.

Fonti aggiuntive: PC Mag, Punto Informatico, Itechpost, TechRepublic, Tomsguide.

La tecnica era classica: un documento Word, che molti utenti ritengono innocuo, conteneva il malware, che veniva lanciato se la vittima apriva il documento e attivava le macro in Microsoft Word.

Ora è arrivata la conclusione dell’intervento di polizia: il 25 aprile scorso i computer che erano stati infettati da Emotet hanno cancellato il malware. Questo è stato possibile perché le forze di polizia avevano preso il controllo degli aggiornamenti di Emotet e ne avevano diffuso uno autodistruttivo.

Alla scadenza impostata, appunto il 25 aprile, è scattata l’autodistruzione. Il portale dedicato ad Emotet presso Abuse.ch indica ora zero computer infetti, che è un risultato notevolissimo, considerato che Emotet aveva preso il controllo di oltre un milione di computer in tutto il mondo, generando incassi illegali per oltre 2 miliardi di dollari.

Va notato che in un intervento come questo le forze di polizia in sostanza aggiornano forzatamente i computer infettati, senza chiedere il consenso dei rispettivi proprietari, ponendo interrogativi sulla legalità di questa tecnica, indubbiamente efficace ma potenzialmente pericolosa. Ovviamente in questo caso nessun protesta, però è formalmente un’intrusione.

Anche l’FBI di recente ha usato lo stesso approccio per ripulire a forza i server Microsoft Exchange infettati da una serie di attacchi denominati Hafnium, visto che i legittimi proprietari di questi server si ostinavano a non aggiornarli.

Già questo è un bel risultato, ma c’è di meglio, perché le forze dell’ordine di vari paesi, coordinate da Europol ed Eurojust, che hanno messo a segno questo successo hanno preso le redini del sistema usato per controllare il malware e lo useranno per ripulire i computer delle vittime il prossimo 25 aprile.

Emotet circolava dal 2014, evolvendosi e aggiornandosi. Colpiva solitamente tramite allegati Word infetti: se chi li riceveva li apriva e attivava le macro, sul suo computer veniva scaricato automaticamente Emotet, che si installava e poi scaricava altro malware, tentando di diffondersi nella rete locale della vittima. Un sistema semplice e classico, ma molto efficace. Ogni giorno i gestori di Emotet spedivano circa mezzo milione di mail infette, e per la legge dei grandi numeri c’era sempre qualcuno che ci cascava.

Emotet era una sorta di piede di porco: scardinava la porta d’ingresso in modo che potessero entrare gli altri componenti dell’attacco. A seconda dei casi, potevano essere programmi per il furto di dati, trojan per il comando remoto, o ransomware per bloccare i computer o l’accesso ai dati della vittima e chiedere un riscatto per riattivarli.

Video clip from the big Emotet malware takedown this week. Notice the gold bars. Video source: National Police of Ukraine pic.twitter.com/obBk3YxvWl

— @mikko (@mikko) January 27, 2021

Questo malware era polimorfico, ossia cambiava il proprio codice in continuazione, per cui molti antivirus faticavano a riconoscerlo.

Se volete sapere se il vostro indirizzo di mail è stato compromesso da Emotet, potete consultare questa pagina del sito della polizia olandese, che ha materialmente sequestrato due dei tre centri di controllo di Emotet, situati nei Paesi Bassi, trovando un archivio di circa 600.000 indirizzi di mail con relative password.

La polizia olandese ha ora preso il comando di questi centri di controllo e li ha usati per diffondere a tutti i computer infettati una versione modificata di Emotet, che si disinstallerà automaticamente il 25 aprile.

Come mai si aspetta così a lungo invece di disinstallarlo subito? Perché in questo modo le aziende colpite hanno il tempo di effettuare controlli interni alla ricerca di eventuali altri malware installati da Emotet.

Evitare questo genere di attacco richiede precauzioni semplici e banali: tenere sempre aggiornati i propri antivirus e gli altri software di protezione, fare sempre gli aggiornamenti dei sistemi operativi e delle applicazioni, usare password differenti e difficili, e diffidare degli allegati non richiesti. Ma soprattutto non bisogna mai, mai, mai abilitare le macro nei documenti Word, a meno che si sia sicurissimi dell’affidabilità della fonte e ci sia una ragione plausibile e importante per abilitarle.

In questo video della polizia ucraìna si vede quella che dovrebbe essere una delle sedi usate dai criminali per gestire Emotet appunto in Ucraìna. È parecchio diversa dal covo asettico di supercattivi della mitologia informatica. Computer accatastati e semiaperti, in equilibrio precario, e Windows 7 SP1.

Fonti aggiuntive: Tripwire (che indica erroneamente il 25 marzo), ZDNet.

Fonte: Graham Cluley.

In realtà gli unici a trarne vantaggio sono i creatori di queste app ingannevoli, perché una volta installate sugli smartphone delle vittime queste app si nascondono e iniziano a far comparire sullo schermo un fiume di pubblicità, i cui incassi vanno ai truffatori. Il telefono diventa spesso inutilizzabile e difficile da ripulire. Alcune di queste app sono state installate oltre un milione di volte, e non tutte sono state rimosse da Google Play dopo le segnalazioni. 

Anche se venissero rimosse, comunque, c’è sempre il rischio che i truffatori le ripubblichino su Google Play con un altro nome.

La migliore cura è quindi la prevenzione generale: non installate app di provenienza incerta che promettono vantaggi mirabolanti. Ma se l’avete fatto, rimediate installando un buon antivirus che le trovi e le elimini.

Somebody appears to be replacing Emotet payloads with this GIF of James Franco https://t.co/YCCSFwfTZb pic.twitter.com/oSPGka9l6g

— Kevin Beaumont (@GossiTheDog) July 22, 2020

Here's an example of a doc from last night from AnyRun, all the payloads were replaced and so Emotet didn't drop, even if the victim had no security controls. pic.twitter.com/eBaYP4i5Lw

— Kevin Beaumont (@GossiTheDog) July 22, 2020

Swiss post themed malspam campaign distributing #Parallax RAT in Switzerland 🇨🇭

XLS:https://t.co/OkE3jshk69

EXE:https://t.co/ZjLqf0JjfS

URL:https://t.co/gMH6fyJKdz

Parallax RAT C2:
bhg.canadacentralregistrar\.ca (79.134.225.51)

Hosted at AnMaXX:https://t.co/Jmvy8mCS84

— abuse.ch (@abuse_ch) April 28, 2020

From: "Post CH AG - Info Sendungsstatus" (info@post.ch)
Subject: Sendung aus - zugestellt
Attachment: Post.ch.980056030002148543.xls

More #COVID19 malspam in the name of @WHO , distributing NanoCore RAT:

Spammed doc (who.doc):https://t.co/Ln9GtJVM2P

Payload (seal.jpeg):https://t.co/DNE5TLCCGp

Payload URL:https://t.co/H7LExCSI8b

Stay safe! pic.twitter.com/gt8gX13U3W

— abuse.ch (@abuse_ch) March 20, 2020