L’utilizzo di app e giochi crackati per diffondere malware è uno dei trucchi più antichi utilizzati dai cybercriminali. Per quanto possa sembrare incredibile, nel 2024 c’è ancora qualcuno che crede in Robin Hood e che considera assolutamente sicuro il download di software e giochi crackati da siti Web di pirateria. Questo tipo di minaccia non è una novità, ma i criminali inventano continuamente nuovi modi per eludere la protezione dei computer delle vittime e riuscire a distribuire il malware.
Di recente abbiamo scoperto una nuova campagna di questo tipo: rivolta ai computer Apple che eseguono le versioni più recenti di macOS (versione 13.6 e successive), sfrutta alcune funzionalità del DNS (Domain Name System) per eseguire il download di contenuti dannosi. Alle vittime viene offerto di scaricare gratuitamente le versioni crackate di app popolari. Cosa rischia chi cede alla tentazione?
Attivazione falsa
Dopo aver scaricato un’immagine del disco che presumibilmente contiene l’app crackata, alla vittima viene richiesto di copiare due file nella cartella Applicazioni: l’app stessa e un cosiddetto “programma di attivazione”. Se ci si limita a copiare e avviare l’app, questa non verrà eseguita. Secondo il manuale, l’app crackata deve prima essere “attivata”. La nostra analisi ha rilevato che il programma di attivazione non esegue operazioni particolarmente sofisticate: rimuove semplicemente alcuni byte dall’inizio del file eseguibile dell’applicazione per renderla funzionante. In altre parole, i criminali informatici hanno modificato un’app precedentemente crackata in modo da impedirne l’esecuzione, a meno che non venga prima “attivata”. Non sorprende che il programma di attivazione abbia uno spiacevole effetto collaterale: quando viene eseguito, richiede i permessi di amministratore e li utilizza per installare nel sistema uno script di download. Lo script scarica quindi dal Web una backdoor che di tanto in tanto richiede alcuni comandi ai propri operatori.
Collegamento tramite DNS
Per scaricare lo script dannoso, il programma di attivazione utilizza uno strumento dal nome esotico e innocente: il DNS (Domain Name System). Abbiamo già parlato di DNS e Secure DNS, ma avevamo tralasciato un’interessante caratteristica tecnica di questo servizio. Oltre a collegare il nome Internet di un server al relativo indirizzo IP, ogni record DNS può anche contenere una descrizione testuale del server, denominata record TXT. Questo è il punto debole: i criminali sfruttano i record TXT incorporandovi frammenti di codice dannoso. Il programma di attivazione scarica tre record TXT appartenenti a un dominio dannoso e li utilizza per assemblare uno script.
Sebbene apparentemente complicata, questa configurazione presenta numerosi vantaggi per i malintenzionati. Per cominciare, il programma di attivazione non esegue operazioni particolarmente sospette: qualunque applicazione Web richiede i record DNS. Di fatto, è così che inizia qualsiasi sessione di comunicazione. In secondo luogo, modificando i record TXT del dominio i criminali possono facilmente aggiornare lo script per modificare lo schema dell’infezione e il risultato finale. Infine, a causa della natura distribuita del Domain Name System, rimuovere i contenuti dannosi dal Web non è semplice. Per provider di servizi Internet e aziende è difficile persino rilevare la violazione dei propri criteri, poiché ciascuno di questi record TXT è solo un frammento di codice dannoso e di per sé non rappresenta una minaccia.
Il boss di fine livello
L’esecuzione periodica dello script di download consente ai criminali di aggiornare il contenuto dannoso e di eseguire sul computer delle vittime le operazioni che vogliono. Al momento della nostra analisi, erano interessati al furto di criptovaluta. La backdoor esegue automaticamente la scansione del computer della vittima alla ricerca di wallet Exodus e Bitcoin e li sostituisce con versioni trojanizzate. La versione infetta del portafoglio Exodus ruba la seed phrase dell’utente, mentre quella del portafoglio Bitcoin gli sottrae la chiave di criptaggio utilizzata per criptare le chiavi private. In questo modo, i cybercriminali possono eseguire e firmare trasferimenti di valuta per conto della vittima. Così, con la speranza di risparmiare qualche decina di euro grazie alle app piratate, si finisce per perdere una somma molto più ingente in criptovaluta.
Come proteggere dagli attacchi i propri portafogli in criptovaluta
Un consiglio sempre valido: per stare alla larga da questa e altre minacce, scarica le app solo dai marketplace ufficiali. Prima di scaricare un’app dal sito Web di uno sviluppatore, assicurati che si tratti dell’originale e non di uno dei tanti siti di phishing.
Se stai pensando di scaricare la versione crackata di un’app, ripensaci. I siti di pirateria “scrupolosi e affidabili” sono rari come gli elfi e gli unicorni.
Anche se sei un fanatico di alfabetizzazione informatica, cautela e attenzione ai dettagli, assicurati di utilizzare una protezione completa in tutti i tuoi dispositivi: telefoni, tablet e computer. Kaspersky Premium, ad esempio, è un’ottima soluzione multipiattaforma. Verifica che tutte le funzionalità di protezione di base e avanzate siano abilitate. Se possiedi uno o più portafogli in criptovaluta, oltre a quanto detto sopra ti consigliamo di leggere le nostre istruzioni dettagliate sulla protezione dei portafogli in criptovaluta, sia che si tratti di hot wallet che di cold wallet.