Salta al contenuto

Temi di tendenza

Cosa sono gli Infostealer?

Marzia Romeo

16.10.20 12 minuti di lettura

Un infostealer è un software malevolo (malware) che cerca di rubare le tue informazioni. I malware più complessi come i trojan bancari (ad esempio TrickBot) e lo stalkerware di solito includono componenti di infostealer.

Nella maggior parte dei casi, ciò significa rubare informazioni che possono portare soldi ai criminali informatici.

Ecco alcune cose che i criminali possono rubare e trasformare in denaro:

  • i dati della tua carta di credito possono essere utilizzati direttamente o rivenduti ad altri che effettuano acquisti con la tua carta,
  • gli accessi al tuo account possono quindi essere utilizzati per rubare i tuoi acquisti passati (ad esempio i tuoi acquisti in-game di Fortnite o Animal Crossing) che possono essere rivenduti,
  • gli accessi al tuo account possono acquistare cose nuove se hai salvato la tua carta di credito,
  • gli accessi al tuo account possono essere venduti da soli:
    • gli account vengono spesso venduti in blocco ad altri specialisti della criminalità informatica per tentare di monetizzare,
    • alcuni account hanno valore individuale, ad esempio account ambiti di Instagram o Snapchat
  • potenzialmente foto e documenti possono essere utilizzati per ricatti o monetizzati in altri modi:
    • le aziende colpite da ransomware devono affrontare sempre più la prospettiva che i loro dati interni e la proprietà intellettuale vengano pubblicati online se non pagano
    • nel 2014, a un gran numero di donne famose sono state rubate e pubblicate foto estremamente private dai loro account iCloud, cosa che ha portato beneficio in modo significativo ad alcuni proprietari di forum e siti web pornografici non etici.

I criminali sono creativi e questo business è importante e professionale.

Esempio di trojan bancario

Android B

Esempio di trojan bancario Android con screenshot step-by-step

Gli attacchi infostealer possono essere davvero diabolici.

Prendiamo ad esempio il funzionamento di un trojan bancario Android che abbiamo visto diffondersi nel 2017.

L’utente riceve un SMS con un collegamento per scaricare un’app con video divertenti. Quando la installa, gli viene chiesto di accettare le autorizzazioni per l’app. L’utente senza dubbio lo fa senza controllare, perché comunque nessuno comprende tutti questi permessi.

L’app contiene alcuni veri “video divertenti”.

Tuttavia, il suo vero lavoro è aspettare che tu apra la tua app bancaria. Quando vede che lo fai, guarda nella sua libreria di app bancarie e usa l’autorizzazione che gli hai dato per disegnare nella parte superiore della schermata di accesso della tua app bancaria una falsa copia esatta della schermata di accesso.

Inserisci i tuoi dati di accesso e ti ruba il nome utente e la password. Allo stesso tempo, ti fa accedere all’app reale che è nascosta dietro l’identica schermata di login falsa, in modo che tutto ti sembri normale.

Ora il trojan aspetta che tu finisca con la tua banca. Quindi accede di nuovo alla tua banca senza il tuo aiuto e prova a trasferire i tuoi soldi.

Quando ciò accade, la banca ti invia un codice SMS per confermare il pagamento: l’app acquisisce il codice utilizzando un’altra autorizzazione che le hai fornito al momento dell’installazione e cancella persino il messaggio SMS in modo che tu non sappia che è successo qualcosa.

Diabolico!

Non solo per soldi

Sebbene il denaro sia di gran lunga il motivo più comune per gli attacchi infostealer, non è l’unico.

Come con iCloud e molti casi simili, le informazioni sulle persone più vulnerabili delle nostre società (donne, bambini, persone LGBTQIA+, persone di colore e altri) sono specificamente prese di mira da coloro che cercano di sfruttarle o di causare loro violenza.

Sappiamo che ci sono società “legali” spudorate che vendono stalkerware, commercializzandolo specificamente a molestatori domestici, genitori violenti e stalker per poter spiare e controllare i loro obiettivi. Questo è il motivo per cui F-Secure fa parte della Coalition Against Stalkerware. Gli stalkerware sono generalmente trojan nascosti, che includono una parte importante della tecnologia degli infostealer: il furto di foto di un bersaglio, cronologia chiamate, cronologia chat, cronologia delle posizioni e altro ancora.

Gli infostealer vengono utilizzati anche come parte del cyberbullismo, in cui l’accesso agli account di un bersaglio può essere utilizzato per pubblicare contenuti imbarazzanti, per rimuovere amici, rimuovere l’accesso o come parte di una campagna di gaslighting globale.

Attacchi più mirati che utilizzano infostealer vengono perpetrati dai governi contro attivisti, giornalisti e politici dell’opposizione, sempre con l’aiuto di società “legali” spudorate che vendono questo malware sapendo come verrà utilizzato.

Si ritiene che il famigerato omicidio del giornalista Jamal Khashoggi nel 2018 abbia coinvolto le tecnologie di infostealer usate contro i suoi colleghi, portando all’omicidio di una delle sue fonti e potenzialmente utilizzate per conoscere il suo programma in anticipo al fine di pianificare il suo omicidio.

Inoltre, all’inizio del 2020, abbiamo appreso di software simile utilizzato contro la persona più ricca del mondo, Jeff Bezos, probabilmente a causa delle notizie del quotidiano Washington Post di cui è proprietario.

Quanto sono comuni gli infostealer?

Secondo i dati di F-Secure appena pubblicati nel nostro H1 2020 Attack Landscape Report, gli infostealer ora dominano le prime 20 minacce malware che gli utenti devono affrontare.

Se includi trojan e RAT (Trojan di accesso remoto) che contengono anche elementi infostealer, il malware che ruba le tue informazioni costituisce 18 delle 20 principali minacce da cui F-Secure ha dovuto proteggere gli utenti.

Le 20 minacce principali registrate da F-Secure in H1 2020

Gli infostealer dominano anche le email di spam che i nostri utenti ricevono, con il 75% degli allegati email a tema coronavirus che abbiamo visto distribuire Lokibot o Formbook, infostealer trovati rispettivamente nel 38% e nel 37% degli allegati COVID.

Example of a real world spam email, pretending to be from a major bank, used to distribute the Lokibot infostealer/trojan.

Esempio di una mail di spam reale, che finge di essere una banca, usata per distribuire l’infostealer/trojan Lokibot.

Nell’ultimo mese in Finlandia, 131 utenti su 10.000 hanno registrato un tentativo di infezione da trojan o infostealer bloccato dal nostro software: il 64% di tutte le minacce affrontate.

Top 10 threats detected by F-Secure End-Point Protection software in Finland in the Last Month (2020-Sep)

Le 10 minacce principali rilevate dal software di End Point Protection di F-Secure in Finlandia lo scorso mese (settembre 2020)

Threats detected by F-Secure End-Point Protection software in Finland in the Last Week (2020-Sep-21) split by type of threat

Minacce rilevate dal software di End Point Protection di F-Secure in Finlandia il mese scorso (settembre 2020) suddivise per tipo di minaccia

Per la Svezia, 149 su 10.000 utenti hanno registrato un tentativo di infezione da infostealer o trojan bloccato dal nostro software, corrispondente al 47% di tutte le minacce affrontate.

Top 10 threats detected by F-Secure End-Point Protection software in Sweden in the Last Month (2020-Sep)

Le 10 minacce principali rilevate dal software di End Point Protection di F-Secure in Svezia lo scorso mese (settembre 2020)

Threats detected by F-Secure End-Point Protection software in Sweden in the Last Month (2020-Sep) split by type of threat

Minacce rilevate dal software di End Point Protection di F-Secure in Svezia il mese scorso (settembre 2020) suddivise per tipo di minaccia

Come posso cadere vittima degli infostealer?

La grande maggioranza di tutte le infezioni da malware, inclusi gli infostealer, arriva tramite email di spam.

L’infezione avviene tramite un allegato all’email o un sito web malevolo collegato nell’email.

Per i siti web, negli ultimi anni la maggior parte delle infezioni deriva dall’indurre l’utente a scaricare e installare manualmente software dal sito. Vediamo ancora una minoranza di casi in cui l’infezione diretta avviene senza il tuo aiuto tramite “kit di exploit”.

Le stesse tecniche utilizzate dalle email di spam per indurre le persone a installare e fare click vengono utilizzate anche tramite SMS, Whatsapp, Facebook Messenger e persino tramite telefonate.

Ancora una volta, i criminali sono creativi e persistenti. Hanno bisogno solo di poche persone che clicchino per rendere redditizia l’intera campagna.

Nella maggior parte dei casi, non sei tu specificamente il bersaglio – i criminali stanno inviando la loro esca a migliaia o milioni di persone e aspettano che qualcuno clicchi e “aiuti” il criminale.

Ci sono alcuni modi comuni utilizzati dai criminali (e dagli inserzionisti!) per cercare di farci spegnere il cervello e fare click.

Queste cose dovrebbero farti fermare e procedere con cautela quando le vedi:

  • “Gratis”: in molti casi questa parola è sufficiente per ottenere una vendita. Stai attento!
  • Allo stesso modo, tutto ciò che è “troppo bello per essere vero” – hai davvero appena vinto un viaggio tutto pagato in tutto il mondo? Hai davvero ricevuto per sbaglio un elenco di tutti gli stipendi dei tuoi capi? Probabilmente no.
  • Urgenza – “sbrigati sbrigati, mancano solo cinque minuti” – se qualcuno sta cercando di farti accelerare, è un ottimo momento per rallentare e guardare attentamente.
  • Conoscenza privilegiata: sanno il tuo compleanno, il nome del tuo capo e dove sei andato a scuola, deve essere reale. Tranne che tutte queste informazioni sono facilmente disponibili online. Non fornire loro ulteriori informazioni prima di essere sicuro che siano chi dicono di essere.
  • Autorità: sia che si tratti dell’FBI che ti “sorprende” a fare qualcosa di sbagliato sul tuo computer, o del tuo capo che ti dice di sbrigarti e trasferire un milione di dollari per un accordo super segreto, ricorda che è molto facile fingere di essere qualcun altro tramite email, testo o altre app.

In tutti questi casi, prendi in considerazione la possibilità di cercare il numero di telefono o l’indirizzo email reale di quella persona o organizzazione nella directory interna della tua azienda o sul sito web ufficiale del tuo governo/banca e chiamare di nuovo per controllare prima di intraprendere un’azione.

Ecco alcuni altri esempi di trucchi utilizzati nel recente spam relativo al coronavirus.

Come posso proteggermi?

Il modo principale per proteggerti dagli infostealer è installare un buon software anti-malware sui tuoi dispositivi. Il software anti-malware ti protegge in tre modi principali.

Il primo modo è arrestare direttamente il software infostealer che tenta di installarsi o avviarsi sul dispositivo. Può fermare un infostealer sia riconoscendo direttamente il software difettoso (le cosiddette “firme”) sia riconoscendone il comportamento (il cosiddetto rilevamento “next-gen”).

Il secondo modo è impedirti di visitare i siti web malevoli che sono all’origine di molte di queste infezioni, in altre parole “protezione della navigazione”.

E il terzo modo è specifico per il banking e lo shopping online in cui un buon software anti-malware attiverà protezioni aggiuntive quando ti connetti al sito web della tua banca per confermarti che non è un falso e anche per bloccare altre applicazioni e finestre sul browser che fanno qualsiasi cosa per interferire con la tua connessione.

Ovviamente, nulla ti garantirà mai una protezione al 100% e non tutti gli attacchi ai tuoi account e alle tue informazioni provengono da malware.

Per questo motivo, una delle cose migliori che la maggior parte delle persone può fare per migliorare la propria sicurezza è iniziare a utilizzare un password manager.

Un password manager ti consente di non preoccuparti anche quando i tuoi dati per un servizio sono esposti, perché la tua password è difficile da decifrare e, anche se violata, darà ai criminali l’accesso a un solo account, non a tutti i tuoi account.

Non solo, un password manager è probabilmente più facile di qualunque cosa tu faccia con le tue password oggi, grazie alla facile compilazione automatica su tutti i tuoi dispositivi, e al fatto di non dover mai usare “ho dimenticato la mia password”.

Keep Calm

Adesivo per laptop Keep Calm And Use A Password Manager

Ovviamente in F-Secure siamo un po’ di parte! 😀 Se lo desideri, puoi ottenere la nostra soluzione anti-malware multi-dispositivo e il nostro password manager qui. Inoltre, quel pacchetto include la nostra soluzione di protezione ID che ti avviserà se i nostri scanner dark/deep web e i team di intelligence umana rilevano i tuoi dati in violazioni online; il pacchetto include anche la nostra pluripremiata soluzione VPN.

Una volta che utilizzi un password manager e, si spera, uno che ti avvisi ogni volta che viene rilevata una violazione dei tuoi dati online, il passaggio successivo è attivare l’autenticazione a 2 fattori (2FA) o a più fattori (MFA) sul maggior numero dei tuoi account possibile.

La MFA ti aiuta a proteggerti anche se la tua password viene rubata, poiché l’attaccante dovrà comunque ottenere il tuo token, oltre alla tua password, per poter accedere alle tue informazioni.

Ricordi il trojan bancario Android sopra? Ecco perché voleva il permesso di leggere i tuoi SMS.

Quando attivi la MFA, se possibile impostala utilizzando un’app One Time Password (OTP) sul tuo telefono (ad esempio FreeOTP) o con un generatore OTP fisico come Yubikey, invece di utilizzare SMS con il tuo numero di telefono.

Le app OTP e le chiavi fisiche sono ancora più sicure degli SMS nei casi in cui vieni preso di mira personalmente, perché i cosiddetti attacchi di “SIM-swapping” non sono possibili. Se queste opzioni non sono disponibili, attiva comunque l’MFA basato su SMS sui tuoi account.

Qualsiasi MFA è meglio di nessun MFA!

L’ultima linea di difesa sei tu

Ovviamente tutte queste protezioni possono ancora essere aggirate se si fornisce la propria password e il token all’attaccante, sia per errore sia perché si è costretti.

Gli errori si verificano, soprattutto quando siamo impegnati, stanchi e stressati. Tuttavia non c’è mai una buona ragione per dare a qualcuno il tuo token MFA – cerca di ricordarlo, e se in un momento di debolezza senti che stai iniziando ad accettare di farlo, si spera che rallenti e ti fermi.

Se ti trovi in ​​una situazione in cui sei costretto a dare accesso ai tuoi account e alle tue informazioni, è disponibile un supporto. Alcuni esempi sono Operation Safe Escape e Le Refuge. Se questo si applica al tuo caso, ove possibile e sicuro per te, fai attenzione ad accedere a queste risorse solo in momenti, luoghi e dispositivi che non sono noti al tuo attaccante, ad esempio in una biblioteca pubblica.

Se vieni ricattato o molestato con il furto di informazioni non consenzienti, organizzazioni come la Cyber ​​Civil Rights Initiative e studi legali specializzati sui diritti delle vittime come C.A. Goldberg potrebbero essere in grado di aiutarti a riprendere il controllo.

Se sei un attivista o un giornalista e pensi di essere preso di mira da infostealer sponsorizzati dallo stato, organizzazioni come Citizen Lab potrebbero essere in grado di aiutarti o indirizzarti verso esperti locali di fiducia.

Marzia Romeo

16.10.20 12 minuti di lettura

Articolo in primo piano

Post correlati

Newsletter modal

Grazie del tuo interesse per la newsletter di F-Secure. Riceverai a breve un email per confermare la sottoscrizione.

Gated Content modal

Congratulazioni – ora puoi accedere al contenuto cliccando sul bottone sottostante.