Lo scopo finale di tutti gli attacchi informatici è ovviamente quello di infettare i dispositivi. Prima però i cybercriminali devono trovare una “porta di ingresso”. I ricercatori di VirusTotal hanno pubblicato un interessante report che illustra le tecniche più utilizzate dagli autori dei malware per ingannare gli utenti e aggirare la protezione degli antivirus. Nonostante ciò, le principali soluzioni di sicurezza riescono a rilevare e bloccare il pericolo. Tra le più efficaci c’è Panda Dome Complete.
Il lupo travestito da agnello
Il report, basato sui file caricati dagli utenti (circa 2 milioni al giorno) tra gennaio 2021 e luglio 2022, descrive quattro trucchi sfruttati dai cybercriminali per colpire le ignare vittime. Una delle tecniche più comuni prevede l’uso di domini legittimi per la distribuzione del malware. In questo modo è possibile aggirare la protezione dei firewall, utilizzare le risorse dell’host e guadagnare la fiducia degli utenti.
VirusTotal ha scoperto circa 2,5 milioni di file sospetti scaricati da 101 domini nella top 1000 di Alexa. Il dominio più usato per la distribuzione di malware è quello di Discord, seguito da Squarespace e Amazon Web Services.
Un altro trucco molto diffuso è firmare i malware (eseguibili e DLL WIndows) con certificati legittimi rubati alle aziende. Tra i casi più noti c’è l’attacco effettuato dal gruppo Lapsus$ con un certificato di NVIDIA. VirusTotal ha rilevato oltre un milione di file firmati e l’87% di essi aveva un certificato valido.
Uno dei trucchi di ingegneria sociale più popolare è far credere agli utenti che il malware sia un software autentico, mostrando la corrispondente icona. Tra le applicazioni più “imitate” ci sono Skype, Adobe Acrobat, 7-Zip, VLC, CCleaner e TeamViewer. Similmente viene mostrata una favicon legittima per i siti infetti. In questo caso, i siti più imitati sono WhatsApp, Instagram e Facebook.
Infine, i cybercriminali inganno gli utenti nascondendo il malware negli installer di software legittimi. Ciò avviene soprattutto con software gratuiti che vengono distribuiti tramite siti di terze parti. Tra i più noti ci sono Google Chrome, Malwarebytes, Firefox, Brave, Zoom, Telegram e ProtonVPN. L’applicazione legittima viene mostrata sullo schermo, mentre il malware viene eseguito in background.
I software devono essere sempre scaricati dai siti ufficiali. Evitare assolutamente i torrent con crack e keygen. Prima dell’installazione deve essere effettuata una scansione con un antivirus aggiornato.