Blog Italia > Cybersecurity
E c’è solo un rimedio
Come possono gli hacker entrare facilmente nei nostri dispositivi, usare le nostre immagini, montarle e chiederci dei riscatti. E aggiornare le protezioni potrebbe non servire a molto

di Marco Ramilli 
 
Durante gli ultimi anni una nota minaccia ha afflitto gli “Instant Messengers”: la telefonata con riscatto. Essa ha come obiettivo quello di effettuare una o più fotografie del volto della vittima a seguito della sua risposta ad una telefonata anonima utilizzando la web camera integrata ed una semplice chiamata attraverso un IM come per esempio “Skype”.

L’attaccante utilizza l’immagine del volto della vittima introducendola attraverso tecniche di fotomontaggio all’interno di scene erotiche e/o compromettenti per poi richiedere periodicamente alla vittima una “tassa” sotto forma di riscatto per non esporre tale fotomontaggio (tipicamente realizzato in modo professionale) al pubblico (social media).

Oggigiorno questa minaccia si è evoluta notevolmente, da un lato sfruttando tecniche di exploiting e di attacco avanzato come l’utilizzo di vulnerabilità per propagare malware, dall’altro lato abbandonando apparentemente il fotomontaggio ma cogliendo la vittima direttamente sul fatto, fotografandola (a volte) durante la visione di un sito contenente materiale compromettente.

Compromettendo i server contenenti i dati visualizzati dalla vittima (come per esempio una pagina pornografica), l’attaccante assume una potenziale postura capace di installare software malevoli (Malware) all’interno del PC della vittima avendo, così, libero accesso ad esso. In questo modo l’attaccante riesce, per esempio, a prelevare credenziali della posta elettronica, credenziali bancarie ed accessi ai social medias in utilizzo alla vittima, oppure utilizzando microfono e webcam integrata, ascoltare e/o scattare fotografie all’insaputa della vittima, per poi richiedere un riscatto per non condividere sui social media della vittima le fotografie scattate “silenziosamente” .

L’aumento esponenziale degli attacchi
Da circa meta giugno 2018 si registra un aumento esponenziale di attacchi a server web utilizzando exploiting comunemente disponibili in rete al fine di “impiantare” Malware di varia natura. Gli exploit piu utilizzati si riferiscono a vulnerabilità Microsoft IIS e su alcune versioni meno aggiornate di cPanel.

Trend Micro ha affermato che circa 2mila siti italiani sono stati compromessi attraverso tali tecniche e che sempre piu Italiani sono ricattati attraverso questa nuova evoluzione di attacco.

Nello specifico sono state osservati numerosi tentativi di utilizzare una particolare tipo di vulnerabilità (la CVE-2017-7269) attraverso la quale un attaccante ha la possibilità di eseguire codice sul server remoto e quindi di condividere e/o modificare il materiale desiderato presentandolo come appartenente al server attaccato.

L’hacker ci porta su una pagina controllata da lui
L’obiettivo dell’attaccante in questo primissimo stage è quello di ridirigere il browser della vittima su una pagina da lui controllata. Nel caso in cui vengano sfruttate vulnerabilità “server side” (sul server) l’attaccante puo agire direttamente sulle pagine condivise dal server senza dover dotarsi di ulteriori steps di attacco a priori. Contrariamente se l’attaccante non riesce a sfruttare le vulnerabilità CVE dirette al server ma all’applicativo installato, come per esempio cPanel, egli necessita ulteriori steps prima di poter controllare la pagina navigata dalla vittima, ma non è questo il caso affrontato nell’attacco di interesse.

Una volta ottenuto l’accesso al contenuto del sito internet, l’attaccante ha la possibilità di installare un Exploit Kit (EK) sul server compromesso. Nello specifico, per la minaccia in narrativa, l’EK piu utilizzati sono stati RIG ed MPack seguiti da alcuni timidi tentativi basati su Magnitude. RIG ha come obiettivo quello di sfruttare altre vulnerabilità, questa volta risiedenti sul browser della vittima, al fine di installare sulla macchina attaccata un Malware. Nello specifico, RIG EK si manifesta attraverso un iFrame inserito alla nella pagina visualizzata dalla vittima capace di caricare codice sviluppato per sfruttare CVE come per esempio gli ultimi CVE-2018-4878 e CVE-2018-8174 riferiti rispettivamente ad Adobe FlashPlayer ed Explorer VBAEngine. Nel caso in cui la vittima non abbia effettivamente le vulnerabilità sopra citate sia RIG che MPack proseguono con un semplice download di file il quale, una volta aperto da parte della vittima, prova a compromettere ulteriori programmi eventualmente installati nell’host come per esempio: WinZIP, QuickTime, etc etc.

L’utilizzo della telecamera da parte dell’hacker
Al termine dell’infezione l’attaccante potrebbe sfruttare la webcamera per scattare immagini in momenti prestabiliti e potrebbe installare un keylogger per prelevare credenziali considerate importanti come per esempio quelle di posta elettronica e dei social network.

Già, ma come è possibile dimostrare che il volto di una persona stia guardando un determinato contenuto piuttosto che un altro? Come è possibile prendere un filmato compromettente da una webcamera installata sul proprio PC avente un angolo massimo di pochi cm? Se state pensando all’unione di “screenshots” + “camshots”, siamo ancora una volta tornati nel mondo del fotomontaggio, dove l’attaccante “monta assieme” fotografie prelevate dalla camera attraverso il vero attacco con screenshots non necessariamente appartenenti alla realtà del momento.

La mail con le minacce del video e il riscatto
Quindi la minaccia descritta, è si importante in quanto potrebbe aver installato sul proprio PC un Malware reale, ma è assai improbabile che ciò che afferma l’attaccante sia corrispondente al vero, magari potrebbe essere vero in condizioni speciali come per esempio alla presenza di specchi e/o riflessi particolari, ma dubito fortemente che anche in quella circostanza vi sia abbastanza risoluzione per distinguere la vittima da una generica persona. Il seguente testo è estratto da una email ricevuta su tale minaccia:

60

SHARES

Facebook

Twitter

RSS Feed