Close Menu
    Internet

    Nuove truffe MaaS su Windows: certificati EV usati per diffondere malware

    6 Mins Read0 Views

    Ho analizzato le ultime truffe “MaaS” su Windows: ecco cosa devi sapere

    Le campagne di phishing non smettono di evolversi e l’ultima ondata di Malware as a Service (MaaS) mirata agli utenti Windows lo dimostra chiaramente. Microsoft è intervenuta, ma il meccanismo della truffa in sé non può essere bloccato alla radice. Vediamo come funziona e cosa puoi fare per proteggerti.

    Truffa di phishing avanzata in stile Malware as a Service

    Di solito il phishing arriva via email o SMS, attraverso pop‑up o con il reindirizzamento verso siti fasulli che imitano alla perfezione quelli legittimi. In questo nuovo schema, osservato dagli esperti di Microsoft Defender, i criminali sfruttano applicazioni considerate affidabili per convincere gli utenti a installare malware.

    In condizioni normali, Windows bloccherebbe software malevolo privo di un certificato di sicurezza valido. I certificati EV (Extended Validation) sono pensati proprio per tutelare gli utenti dai tentativi di phishing, attestando l’identità di un’azienda o di un brand.

    I truffatori, però, hanno messo in piedi un aggiramento estremamente sofisticato. Hanno creato una società di comodo chiamata “TrustConnect Software PTY LTD”, quindi hanno usato strumenti di intelligenza artificiale per fabbricare una falsa identità aziendale: sito web, recensioni, statistiche di utilizzo, e così via. Con questa copertura hanno richiesto un certificato EV. Poiché sulla carta tutto risultava in regola, l’Autorità di Certificazione ha approvato l’emissione.

    Il risultato? Il certificato EV è stato acquistato legalmente. Niente furti né certificati contraffatti: con un certificato autentico, Windows si è fidato del codice malevolo al momento dell’installazione.

    Se vuoi controllare il certificato di un’app in Windows:
    – clic destro sul file eseguibile
    – Proprietà → Firme digitali → Dettagli → Visualizza certificato

    Purtroppo c’è di peggio. TrustConnect Software PTY LTD si è trasformata in un vero e proprio servizio per “imprenditori” senza scrupoli: un modello malware-as-a-service. Con un abbonamento in criptovaluta di circa 300 dollari al mese, chiunque poteva accedere al malware già firmato digitalmente e a tutto l’occorrente per lanciare campagne di phishing.

    Gli utenti ricevevano email con allegati PDF, inviti a riunioni e documenti simili che in realtà erano link malevoli. Il trucco? Cliccando il link appariva una finestra che chiedeva di aggiornare un’app — per esempio “Aggiorna Adobe Acrobat per aprire il PDF” oppure “Aggiorna Zoom per partecipare alla riunione”. Premendo “Aggiorna”, si installava il malware.

    File dal nome credibile come adobereader.exe, trustconnectagent.exe, msteams.exe, zomworkspace.clientsetup.exe e invite.exe venivano eseguiti senza problemi, grazie alla firma digitale con certificato EV valido.

    Il malware creava perfino cartelle in Program Files e si avviava insieme a Windows come un normale programma, rendendo difficile accorgersi dell’infezione anche per utenti esperti.

    Certificato revocato, ma la truffa continua

    Verrebbe da pensare che la revoca del certificato EV abbia stroncato l’operazione di TrustConnect. Invece no. La revoca impedisce l’emissione di nuovi certificati per quella specifica entità, ma non ha effetto retroattivo.

    Tradotto: tutto ciò che era già stato firmato prima della revoca continua a risultare valido. Per Windows, le applicazioni malevole di TrustConnect appaiono ancora come software legittimo.

    Di conseguenza, la responsabilità di difendersi ricade sull’utente finale. Al momento i bersagli principali sono le aziende, ma gli utenti domestici non sono affatto esclusi.

    In più, i ricercatori hanno individuato che gli stessi attori dietro TrustConnect stanno lavorando a un nuovo ceppo di malware, denominato “DocConnect”, con modalità operative simili.

    La soluzione più sicura? Formattare

    Durante i tentativi di bonifica, gli esperti hanno scoperto che il malware di TrustConnect è ancora più complesso del previsto: installa più framework RMM (Remote Monitoring and Management) per mantenere l’accesso remoto ai dispositivi infetti. Rimuoverne uno spesso non basta.

    Se sei stato colpito, la via più affidabile è:
    – formattare il computer e reinstallare Windows
    – seguire poi tutte le pratiche consigliate per mettere in sicurezza account e dispositivi dopo una truffa

    Capisco: perdere file è l’ultima cosa che vuoi. Effettua prima un backup, poi — a reinstallazione completata — scansiona il backup con un antivirus prima di ripristinare i dati. La buona notizia è che, trattandosi di un malware mascherato da app Windows, è meno probabile che si annidi in documenti, foto o altri file personali.

    Per le aziende, è consigliabile impedire agli utenti di eseguire aggiornamenti delle app in autonomia.

    Non aggiornare mai le app tramite un link

    TrustConnect non è l’unico gruppo ad aver usato falsi aggiornamenti per diffondere malware; la differenza è che in questo caso c’era un certificato valido a copertura, rendendo più difficile l’individuazione da parte di Windows e degli antivirus.

    Se dopo aver cliccato un link “credibile” ti appare una richiesta di aggiornamento:
    – fermati subito e non procedere
    – apri direttamente l’app sul tuo PC e verifica da lì la presenza di aggiornamenti (di solito nelle impostazioni o nel menu di aiuto)
    – se l’app proviene dal Microsoft Store, effettua l’update dal Microsoft Store

    Se non ci sono aggiornamenti disponibili, il link è sicuramente una truffa.

    Dato che le procedure possono cambiare e potrebbero persino suggerire di scaricare nuove app, valuta di:
    – installare nuove applicazioni in sandbox prima di usarle realmente, così da verificarne l’affidabilità

    Metti in dubbio i link inaspettati

    Le truffe di phishing non scompariranno. La difesa più semplice è coltivare il dubbio davanti a link inattesi. Può capitare di ricevere email che sembrano perfette in ogni dettaglio — persino l’indirizzo del mittente può sembrare autentico. Alcune email sono più facili da smascherare, ma altre sono estremamente convincenti.

    La regola d’oro è non cliccare: accedi direttamente al sito del servizio interessato digitando l’indirizzo a mano o tramite segnalibro e verifica da lì. In ambito lavorativo, chiudi il messaggio sospetto e contatta il presunto mittente con un canale separato e affidabile per confermare. Meglio perdere un minuto per verificare che ritrovarsi con un’infezione.

    Inoltre:
    – non rispondere mai all’email sospetta: così facendo dai solo un segnale di “utente attivo” al truffatore, che potrebbe insistere per convincerti che il messaggio sia legittimo

    Nuove varianti di phishing spuntano di continuo — ormai stanno invadendo persino i commenti su LinkedIn. Il modello “malware come servizio” è un’evoluzione inquietante, ma con qualche accortezza si può ancora evitare di cascarci.

    Share.

    Nato nei primi anni ’80, è un autore specializzato in tecnologia, informatica e cultura digitale. Cresciuto in un’epoca di grandi trasformazioni tecnologiche, ha sviluppato fin da bambino una forte passione per i computer e il mondo dei videogiochi, muovendo i primi passi su macchine iconiche come il Commodore Amiga 500, tra floppy disk, linguaggi BASIC e interminabili pomeriggi passati a esplorare mondi virtuali. Grande appassionato di fantascienza, è da sempre affascinato dall’universo di Star Wars, che ha contribuito a plasmare la sua immaginazione e il suo interesse per le tecnologie futuristiche. Parallelamente, ha coltivato un amore per le avventure grafiche classiche, in particolare la saga di Monkey Island, da cui trae ispirazione anche il suo pseudonimo. Nel tempo libero continua a coltivare le sue passioni: retrogaming, fantascienza, smanettamento con nuovi dispositivi e software, e la riscoperta delle tecnologie che hanno segnato la sua infanzia. Per lui, la tecnologia non è solo lavoro, ma un linguaggio attraverso cui raccontare il presente e immaginare il futuro.

    Ti potrebbe interessare