Close Menu
    Internet

    Nuove truffe MaaS su Windows con certificati EV: rischi e difese

    6 Mins Read0 Views

    Ho analizzato le nuove truffe “MaaS” su Windows: ecco cosa devi sapere

    Le campagne di phishing continuano a perfezionarsi, e l’ultima ondata di Malware as a Service (MaaS) mirata agli utenti Windows lo dimostra chiaramente. Microsoft è intervenuta, ma il raggiro in sé non può essere bloccato del tutto. Vediamo come funziona e, soprattutto, come difendersi.

    Una truffa di phishing “Malware as a Service” estremamente sofisticata

    Il phishing tradizionale utilizza email o SMS, pop-up ingannevoli o siti fasulli che imitano alla perfezione quelli autentici. La variante scoperta dai ricercatori di Microsoft Defender alza l’asticella: sfrutta applicazioni considerate affidabili per indurre l’utente a installare un malware.

    Di norma Windows blocca software di questo tipo se il file non dispone di un certificato di sicurezza valido. I certificati EV (Extended Validation) servono proprio a ridurre i rischi di phishing, perché offrono una verifica più stringente dell’identità dell’azienda dietro al software.

    I truffatori, però, hanno escogitato un piano ingegnoso. Hanno creato una società di comodo chiamata TrustConnect Software PTY LTD, quindi, usando strumenti di intelligenza artificiale, hanno generato identità aziendali coerenti: sito web, recensioni, statistiche d’uso, contenuti e tutto ciò che potesse sembrare “reale”. A quel punto hanno richiesto un certificato EV. Poiché la documentazione presentata appariva in ordine, l’Autorità di Certificazione ha approvato l’emissione.

    In altre parole, i criminali hanno acquistato legalmente un certificato EV valido: non l’hanno rubato né falsificato. Così, al momento dell’installazione, Windows ha riconosciuto e considerato attendibile il software firmato.

    Per verificare il certificato di un’app in Windows:
    – fai clic destro sul file eseguibile
    – vai su Proprietà → Firme digitali → Dettagli → Visualizza certificato

    C’è di più. TrustConnect Software PTY LTD si è trasformata in una vera e propria “fabbrica del crimine” per aspiranti truffatori: ha lanciato un modello MaaS, vendendo in abbonamento l’accesso al malware già firmato digitalmente e a tutto il necessario per condurre gli attacchi. Con circa 300 dollari al mese pagati in criptovaluta, chiunque poteva avviare la propria campagna di phishing.

    La catena di infezione è subdola: le vittime ricevono email con allegati PDF, inviti a riunioni e altri contenuti che, in realtà, puntano a link malevoli. Il trucco sta nell’innescare un finto avviso di aggiornamento app, per esempio “Aggiorna Adobe Acrobat per aprire il PDF” oppure “Aggiorna Zoom per entrare nella riunione”. Clicchi su Aggiorna e, invece dell’update, installi il malware.

    File con nomi credibili come adobereader.exe, trustconnectagent.exe, msteams.exe, zomworkspace.clientsetup.exe o invite.exe si eseguono senza intoppi perché risultano firmati con un certificato EV legittimo.

    Il malware, inoltre, crea cartelle in Program Files e si avvia insieme a Windows come se fosse un programma normale. Anche gli utenti più esperti possono faticare a notarlo.

    Certificato revocato, ma la truffa continua

    Verrebbe da pensare che la revoca del certificato EV metta fine alla truffa MaaS di TrustConnect. Purtroppo non è così. La revoca impedisce l’emissione di nuovi certificati per quell’entità, ma non invalida retroattivamente quelli già rilasciati.

    Risultato: tutto ciò che è stato firmato prima della revoca continua a essere visto da Windows come software affidabile.

    Questo significa che, in pratica, la protezione dipende in gran parte da te. In questo momento i target preferiti sono le aziende, ma gli utenti domestici non sono affatto esclusi.

    Nel frattempo, i ricercatori hanno individuato che gli stessi attori dietro TrustConnect stanno lavorando a un nuovo malware, chiamato DocConnect, con modalità operative analoghe.

    La soluzione più efficace? Formattare

    Le analisi hanno rivelato che il malware di TrustConnect è più complesso del previsto. Durante la bonifica, è emerso che installa più framework RMM (Remote Monitoring and Management) per mantenere l’accesso remoto alle macchine compromesse. Anche rimuovendone uno, possono rimanere attivi altri componenti.

    Se sei stato colpito, il consiglio più sicuro è di formattare il computer. Solo così hai la garanzia di eliminare ogni persistenza. E non dimenticare di adottare tutte le misure per mettere in sicurezza i tuoi account e i tuoi dispositivi dopo la truffa.

    Capisco che l’idea di perdere i file spaventi: prima esegui un backup completo. Dopo aver reinstallato Windows, prima di ripristinare i dati sul PC, scansiona il backup con un buon antivirus. La nota positiva è che questo malware si camuffa da app di sistema: è meno probabile che si nasconda dentro documenti, foto e simili.

    Per le aziende, è opportuno che gli amministratori IT impediscano agli utenti di aggiornare autonomamente le applicazioni.

    Non aggiornare le app tramite link

    TrustConnect non è l’unico gruppo ad aver sfruttato i finti aggiornamenti per distribuire malware; la differenza è che qui c’era un certificato valido, quindi l’individuazione da parte di Windows e degli antivirus è risultata più complicata.

    Se dopo aver cliccato su un link “credibile” ti compare una richiesta di aggiornare un’app, fermati subito. Non procedere.

    • Apri manualmente l’app interessata e cerca l’opzione di aggiornamento nelle impostazioni o nel menu Aiuto.
    • Se l’hai scaricata dal Microsoft Store, aggiorna direttamente dallo Store.
    • Se non ci sono aggiornamenti disponibili, quel link era una trappola.

    Poiché le tecniche cambiano di continuo e potrebbero spingerti a scaricare nuove app, valuta di installare le novità in una sandbox per verificarne la sicurezza prima di integrarle nel sistema.

    Dubita dei link inaspettati

    Il phishing non scomparirà a breve. La difesa più efficace è sviluppare l’abitudine di mettere in discussione i link non richiesti. Di recente ho ricevuto un’email che prometteva uno sconto sull’assicurazione auto a fronte di un sondaggio. Tutto sembrava in ordine, perfino l’indirizzo del mittente. Alcune email di phishing sono facili da riconoscere, ma altre sono curate nei minimi dettagli.

    Invece di cliccare, sono entrato direttamente nell’area clienti del mio assicuratore: era una truffa.

    Se hai il minimo dubbio, non cliccare. In ambito lavorativo, chiudi il messaggio e contatta con un canale separato la persona che presumibilmente te l’ha inviato. Meglio una verifica in più che un’infezione di malware. Inoltre, evita di rispondere direttamente al messaggio sospetto: così facendo interagisci con il truffatore, che avrà l’occasione di rendere la messaggistica ancora più convincente.

    Nuove campagne di phishing nascono ogni giorno: ormai compaiono persino nei commenti su LinkedIn. Il MaaS “legittimo” è un’evoluzione preoccupante, ma con le giuste abitudini si può evitare di cadere nella trappola.

    Share.

    Nato nei primi anni ’80, è un autore specializzato in tecnologia, informatica e cultura digitale. Cresciuto in un’epoca di grandi trasformazioni tecnologiche, ha sviluppato fin da bambino una forte passione per i computer e il mondo dei videogiochi, muovendo i primi passi su macchine iconiche come il Commodore Amiga 500, tra floppy disk, linguaggi BASIC e interminabili pomeriggi passati a esplorare mondi virtuali. Grande appassionato di fantascienza, è da sempre affascinato dall’universo di Star Wars, che ha contribuito a plasmare la sua immaginazione e il suo interesse per le tecnologie futuristiche. Parallelamente, ha coltivato un amore per le avventure grafiche classiche, in particolare la saga di Monkey Island, da cui trae ispirazione anche il suo pseudonimo. Nel tempo libero continua a coltivare le sue passioni: retrogaming, fantascienza, smanettamento con nuovi dispositivi e software, e la riscoperta delle tecnologie che hanno segnato la sua infanzia. Per lui, la tecnologia non è solo lavoro, ma un linguaggio attraverso cui raccontare il presente e immaginare il futuro.

    Ti potrebbe interessare