I ricercatori di Sophos hanno scoperto le tattiche usate dal gruppo Mad Liberator per accedere ai computer e rubare i dati. Sfruttando una combinazione di ingegneria sociale, tool popolari e falsi aggiornamenti di Windows, i cybercriminali riescono ad ingannare l’utente, minacciando anche la pubblicazione di informazioni sensibili se non viene pagato un riscatto.
AnyDesk e update fasulli
I primi attacchi di Mad Liberator sono stati rilevati a metà luglio. Nella maggioranza dei casi viene effettuato l’accesso remoto tramite AnyDesk. Non è chiaro però come i cybercriminali scelgano i loro obiettivi. Probabilmente vengono utilizzati gli indirizzi a 10 cifre (AnyDesk ID) assegnati al dispositivo quando il software è installato.
Se viene trovato l’ID corretto, il destinatario vede sullo schermo una richiesta di connessione remota. Il mittente può scegliere uno specifico username (ad esempio Tech Support) per ingannare l’ignara vittima. Se viene accettata la richiesta, i cybercriminali copiano ed eseguono un file sul computer che sembra un aggiornamento di Windows (appare una percentuale di completamento).
Usando la funzionalità di trasferimento file di AnyDesk vengono rubati dati dallo storage locale, dalle condivisioni di rete e dagli account OneDrive. Per evitare la chiusura del software con un semplice Esc viene disattivato l’input da tastiera e mouse (altra funzionalità di AnyDesk).
Al termine viene eseguito un tool che copia in diverse directory il file di testo con le istruzioni da seguire per pagare il riscatto. Il metodo è tipico degli attacchi ransomware, ma in questo caso non viene cifrato nessun file. In pratica è un’estorsione. Se non viene inviata la somma richiesta, i dati finiranno online. Al momento, il sito di Mad Liberator elenca 9 vittime.