Riepilogo

Una campagna di phishing avanzata sfrutta il modello Malware as a Service: i criminali creano identità aziendali credibili (es. TrustConnect Software PTY LTD), ottengono legalmente certificati EV e firmano malware che Windows considera affidabile. Le vittime sono indotte a eseguire falsi aggiornamenti di app tramite link in email o inviti, installando payload persistenti e componenti RMM difficili da rimuovere. La revoca del certificato non invalida le firme esistenti, quindi la minaccia persiste e si evolve (es. DocConnect). Le difese includono: verificare manualmente gli aggiornamenti dalle app o dallo Store, diffidare di link inattesi, usare sandbox per nuove installazioni, policy aziendali che impediscano update autonomi e, in caso di compromissione, formattare il PC dopo backup e scansione.

---

Ho analizzato le nuove truffe “MaaS” su Windows: ecco cosa devi sapere

Le campagne di phishing continuano a perfezionarsi, e l’ultima ondata di Malware as a Service (MaaS) mirata agli utenti Windows lo dimostra chiaramente. Microsoft è intervenuta, ma il raggiro in sé non può essere bloccato del tutto. Vediamo come funziona e, soprattutto, come difendersi.

Una truffa di phishing “Malware as a Service” estremamente sofisticata

Il phishing tradizionale utilizza email o SMS, pop-up ingannevoli o siti fasulli che imitano alla perfezione quelli autentici. La variante scoperta dai ricercatori di Microsoft Defender alza l’asticella: sfrutta applicazioni considerate affidabili per indurre l’utente a installare un malware.

Di norma Windows blocca software di questo tipo se il file non dispone di un certificato di sicurezza valido. I certificati EV (Extended Validation) servono proprio a ridurre i rischi di phishing, perché offrono una verifica più stringente dell’identità dell’azienda dietro al software.

I truffatori, però, hanno escogitato un piano ingegnoso. Hanno creato una società di comodo chiamata TrustConnect Software PTY LTD, quindi, usando strumenti di intelligenza artificiale, hanno generato identità aziendali coerenti: sito web, recensioni, statistiche d’uso, contenuti e tutto ciò che potesse sembrare “reale”. A quel punto hanno richiesto un certificato EV. Poiché la documentazione presentata appariva in ordine, l’Autorità di Certificazione ha approvato l’emissione.

In altre parole, i criminali hanno acquistato legalmente un certificato EV valido: non l’hanno rubato né falsificato. Così, al momento dell’installazione, Windows ha riconosciuto e considerato attendibile il software firmato.

Per verificare il certificato di un’app in Windows:

• fai clic destro sul file eseguibile
• vai su Proprietà → Firme digitali → Dettagli → Visualizza certificato

C’è di più. TrustConnect Software PTY LTD si è trasformata in una vera e propria “fabbrica del crimine” per aspiranti truffatori: ha lanciato un modello MaaS, vendendo in abbonamento l’accesso al malware già firmato digitalmente e a tutto il necessario per condurre gli attacchi. Con circa 300 dollari al mese pagati in criptovaluta, chiunque poteva avviare la propria campagna di phishing.

La catena di infezione è subdola: le vittime ricevono email con allegati PDF, inviti a riunioni e altri contenuti che, in realtà, puntano a link malevoli. Il trucco sta nell’innescare un finto avviso di aggiornamento app, per esempio “Aggiorna Adobe Acrobat per aprire il PDF” oppure “Aggiorna Zoom per entrare nella riunione”. Clicchi su Aggiorna e, invece dell’update, installi il malware.

File con nomi credibili come adobereader.exe, trustconnectagent.exe, msteams.exe, zomworkspace.clientsetup.exe o invite.exe si eseguono senza intoppi perché risultano firmati con un certificato EV legittimo.

Il malware, inoltre, crea cartelle in Program Files e si avvia insieme a Windows come se fosse un programma normale. Anche gli utenti più esperti possono faticare a notarlo.

Certificato revocato, ma la truffa continua

Verrebbe da pensare che la revoca del certificato EV metta fine alla truffa MaaS di TrustConnect. Purtroppo non è così. La revoca impedisce l’emissione di nuovi certificati per quell’entità, ma non invalida retroattivamente quelli già rilasciati.

Risultato: tutto ciò che è stato firmato prima della revoca continua a essere visto da Windows come software affidabile.

Questo significa che, in pratica, la protezione dipende in gran parte da te. In questo momento i target preferiti sono le aziende, ma gli utenti domestici non sono affatto esclusi.

Nel frattempo, i ricercatori hanno individuato che gli stessi attori dietro TrustConnect stanno lavorando a un nuovo malware, chiamato DocConnect, con modalità operative analoghe.

La soluzione più efficace? Formattare

Le analisi hanno rivelato che il malware di TrustConnect è più complesso del previsto. Durante la bonifica, è emerso che installa più framework RMM (Remote Monitoring and Management) per mantenere l’accesso remoto alle macchine compromesse. Anche rimuovendone uno, possono rimanere attivi altri componenti.

Se sei stato colpito, il consiglio più sicuro è di formattare il computer. Solo così hai la garanzia di eliminare ogni persistenza. E non dimenticare di adottare tutte le misure per mettere in sicurezza i tuoi account e i tuoi dispositivi dopo la truffa.

Capisco che l’idea di perdere i file spaventi: prima esegui un backup completo. Dopo aver reinstallato Windows, prima di ripristinare i dati sul PC, scansiona il backup con un buon antivirus. La nota positiva è che questo malware si camuffa da app di sistema: è meno probabile che si nasconda dentro documenti, foto e simili.

Per le aziende, è opportuno che gli amministratori IT impediscano agli utenti di aggiornare autonomamente le applicazioni.

Non aggiornare le app tramite link

TrustConnect non è l’unico gruppo ad aver sfruttato i finti aggiornamenti per distribuire malware; la differenza è che qui c’era un certificato valido, quindi l’individuazione da parte di Windows e degli antivirus è risultata più complicata.

Se dopo aver cliccato su un link “credibile” ti compare una richiesta di aggiornare un’app, fermati subito. Non procedere.

• Apri manualmente l’app interessata e cerca l’opzione di aggiornamento nelle impostazioni o nel menu Aiuto.
• Se l’hai scaricata dal Microsoft Store, aggiorna direttamente dallo Store.
• Se non ci sono aggiornamenti disponibili, quel link era una trappola.

Poiché le tecniche cambiano di continuo e potrebbero spingerti a scaricare nuove app, valuta di installare le novità in una sandbox per verificarne la sicurezza prima di integrarle nel sistema.

Dubita dei link inaspettati

Il phishing non scomparirà a breve. La difesa più efficace è sviluppare l’abitudine di mettere in discussione i link non richiesti. Di recente ho ricevuto un’email che prometteva uno sconto sull’assicurazione auto a fronte di un sondaggio. Tutto sembrava in ordine, perfino l’indirizzo del mittente. Alcune email di phishing sono facili da riconoscere, ma altre sono curate nei minimi dettagli.

Invece di cliccare, sono entrato direttamente nell’area clienti del mio assicuratore: era una truffa.

Se hai il minimo dubbio, non cliccare. In ambito lavorativo, chiudi il messaggio e contatta con un canale separato la persona che presumibilmente te l’ha inviato. Meglio una verifica in più che un’infezione di malware. Inoltre, evita di rispondere direttamente al messaggio sospetto: così facendo interagisci con il truffatore, che avrà l’occasione di rendere la messaggistica ancora più convincente.

Nuove campagne di phishing nascono ogni giorno: ormai compaiono persino nei commenti su LinkedIn. Il MaaS “legittimo” è un’evoluzione preoccupante, ma con le giuste abitudini si può evitare di cadere nella trappola.