Il caso Raccoon: cosa sono gli infostealer? Phishing a valanga, l'Italia sempre più nel mirino.

Ciao a tutti e benvenuti alla puntata numero 88 di Cronache Digitali, dove vi racconto cosa succede nel mondo del cyber crime.

Come sempre la puntata è anche disponibile in Podcast, cliccando qui.

Il caso Raccoon: arrestato il padre del più famoso infostealer.

La notizia è di pochi giorni fa, Mark Sokolovsky, un ragazzo di 26 anni ucraino detenuto in Olanda dallo scorso mese di Marzo, è ora stato individato dall'FBI - che ha collaborato anche con la nostra Guardia di Finanza, di essere l'ideatore di Raccoon, un malware infostealer che ha compromesso milioni di computer nel mondo riuscendo a sottrarre - così sembra - oltre 50 milioni di credenziali, tra cui molte (alcuni milioni) di residenti in Italia.

Ora l'imputato è in attesa dell'estradizione negli Stati Uniti. Ma partiamo dall'inizio.

Cosa è un Infostealer?

Con infostealer si intende un malware, quindi un software malevolo installato sulla macchina della vittima, che letteralmente "ruba le informazioni" (info + stealer, in italiano "ladro").

In sostanza, una volta che il malware infostealer è installato sul pc, cerca - senza che l'utente se ne accorga - di raccogliere i dati che noi inseriamo ogni volta che accediamo ad un sito che richieda delle credenziali oppure numeri di carte di credito. Quindi, ad esempio, il sito della nostra banca, l'email, gli account social e via così.

Quando inseriamo la nostra username, una password, un numero di carta di credito, l'infostealer le intercetta, le memorizza e poi le invia ad un server esterno che le colleziona, per poi essere rivendute o utilizzate direttamente per un attacco.

Come si installa un infostealer?

La maggior parte dei malware di questo tipo, si "nascondono" dietro applicazioni che sembrano legittime, oppure vengono inviati tramite email di phishing che contengono un link e o un allegato.

Succede quindi che, ad esempio, scarichiamo una applicazione da uno store online (spesso non ufficiale) che dovrebbe svolgere una determinata funzione, in realtà contiene anche il malware.

A questo tipo di attacchi sono ad alto rischio i ragazzi: spesso vengono scaricati software che promettono di sbloccare determinate opzioni nei loro giochi, ma che in realtà nascondono software malevoli. Allo stesso modo, tutto il mondo della pirateria che promette di poter sbloccare programmi a pagamento semplicemente installando un software aggiuntivo, è usato come veicolo per trasmettere malware infostealer.

Come ho già detto più volte, massima attenzione quindi quando installiamo una app della quale non abbiamo la certezza sulla loro provenienza.

Raccoon.

Raccoon è stato uno dei malware infostealer più diffusi negli ultimi anni. Nasce infatti come piattaforma MaaS, ovvero Malware As A Service. In sostanza, previa il pagamento di un piccolo abbonamento mensile (circa 200$), chiunque può utilizzare il malware e distribuirlo, ricevendo tutto il supporto e la tecnologia per farlo.

Questo ha fatto sì che si diffondesse molto velocemente. Sembra addirittura che l'attacco ad Uber di qualche settimana fa (ne ho parlato qui) partisse proprio da un furto di credenziali svolto con Raccoon.

La buona notizia.

Ma veniamo finalmente alla buona notizia che citavo in apertura: l'FBI è riuscita ad identificare uno dei creatori del malware. Questo non significa che non esista più, l'attenzione è ancora lata, ma certamente è un duro colpo al mondo del cybercrime.

Inoltre, l'FBI ha pubblicato online un sito che permette a chiunque di verificare se la propria email è contenuta del database di Raccoon, o perlomeno nella parte di database in mano all'FBI.

A questo link potete quindi svolgere la verifica: in caso di esito positivo è altamente consigliabile cambiare le password dei propri servizi online ed attivare (se non lo avete già fatto) la autenticazione a due fattori. Ovviamente va svolta anche una analisi approfondita sui propri PC per capire se il malware è ancora presente! Mi raccomando, questa operazione fatela prima di cambiare le password.... ;-)

Phishing in Italia: alcuni nuovi casi.

Che il phishing sia oramai il primo veicolo per truffe ed attacchi informatici lo sappiamo. Vediamo alcuni casi recenti nel nostro paese, per capire il livello a cui siamo arrivati, sfruttando esempi concreti e reali.

E' stato da poco messo sotto sequestro il sito ShoppingFerrara.com, che si spacciava per un ecommerce dedicato alla vendita di pellet a prezzi strepitosi. Tutto è partito da una denuncia di un cittadino che - dopo un ordine del valore di €500 - non vi è visto recapitare la merce.

Dalle indagini della Polizia è emerso che la truffa andava avanti da tempo ed era diffusa su tutto il territorio nazionale, per valori di decine di migliaia di euro.

In questo caso i criminali informatici hanno sfruttato una nuova esigenza, legata al "caro bollette", in quanto molti di noi hanno optato per sistemi di riscaldamento alternativi, tra i questi le popolari stufe a pellet.

Tra l'altro, controllando la registrazione del dominio, possiamo vedere come sia attivo da quasi un anno: è quindi molto probabile che le vittime siano molte...

Passiamo ad un altra truffa segnalata dal CERT che investe i clienti di Poste Italiane. Il veicolo utilizzato è un SMS che avverte l'utente di un accesso non autorizzato al proprio conto, invitando - con un link - a verificare:

Già da questo primo passaggio, notiamo che il link è stato creato con il sistema di link brevi di LinkedIn, il famoso social network per professionisti. Prima lezione: Poste Italiane o qualsiasi altro istituto di credito, non invierà mai una comunicazione con questo tipo di link. Quindi, massima attenzione. Cliccandoci comunque sopra, si apre la pagina di phishing realizzata simulando quella del portale di Poste Italiane:

Molto ben fatta come potete notare, a parte l'URL che ovviamente non ha nulla a che vedere con il dominio delle Poste. Anche in questo caso, sempre massima attenzione.