Certificati di sicurezza o malware? La scoperta di Kaspersky
Kaspersky ha segnalato una nuova modalità utilizzata per veicolare malware. Si nascondono dietro finti certificati di sicurezza.
I tentativi di infettare i dispositivi con accesso ad internet con un malware sono sempre più numerosi. I metodi per poter far questo sono vari e diventano sempre più fantasiosi. Dai report risultano numerosi i tentativi di spacciare i malware per un importante aggiornamento software. Molto spesso il malware viene veicolato spacciandolo per un aggiornamento della versione Flash. Inutile dire che questi metodi risultano efficaci.
Gli approcci però sono in continua evoluzione e la conferma di questa tendenza arriva da Kaspersky, da tempo in prima linea contro le minacce della rete. Nello specifico il nuovo approccio è stato scoperto da poco e consiste nel veicolare il malware tramite un certificato di sicurezza, ovviamente falso.
Questo tipo di attacco è stato registrato a partire dal 16 gennaio 2020 e applicato su vari siti tra i più disparati tra loro. Sono stati coinvolti ad esempio un sito legato al mondo automotive e il sito di uno zoo. Chi visitava questi siti vedeva apparire nella pagina un messaggio relativo ad un certificato di sicurezza scaduto.
Il messaggio veniva sovrapposto alla finestre principale così che l’utente fosse in grado di vedere il sito originale, con l’evidente scopo di infondere un senso di sicurezza. Dopo aver acconsentito all’aggiornamento partiva il download del malware, nascosto all’interno di un file chiamato Certificate_Update_v02.2020.exe. Il file veniva utilizzato per veicolare due differenti malware noti con il nome di Mokes e Buerak.
Mokes risulta particolarmente pericoloso in quanto in grado di acquisire screenshot dallo schermo. Questi screenshot vengono poi inviati agli attaccanti che possono così avere accesso alle credenziali di accesso.
“Le persone sono particolarmente inclini a cadere nella trappola di questo tipo di minaccia perché si tratta di attacchi che prendono di mira siti web legittimi che l’utente probabilmente ha già visitato e conosce… Inoltre, l’indirizzo indicato nell’iframe è, di fatto, il vero indirizzo del sito web. L’utente è quindi incentivato ad “installare” il certificato raccomandato per poter visualizzare il contenuto desiderato. Tuttavia, gli utenti dovrebbero sempre essere prudenti quando viene richiesto di scaricare qualcosa da una fonte online, è possibile che non sia davvero necessario”.
Scritto da Michele Bellotti
Commenta!