Cos'è un drive-by download

Definizione di attacco tramite drive-by download

Gli attacchi di tipo drive-by download si riferiscono nello specifico a programmi dannosi che vengono installati nei dispositivi senza il tuo consenso. Includono anche i download involontari di file o software in bundle in un dispositivo.

In agguato in tutti gli angoli del Web, questi attacchi fanno sì che anche siti perfettamente legittimi possano diffondere questa minaccia.

Ecco le due varianti principali degli attacchi di tipo drive-by download:

1. Applicazioni o programmi potenzialmente indesiderati (PUP/PUA) non dannosi.
2. Attacchi contenenti malware.

Il primo tipo è sicuro, alla peggio può essere adware. Gli esperti di cybersecurity identificano nel secondo tipo di attacchi la definizione di drive-by download.

Cos'è un attacco di tipo drive-by download?

Un attacco drive-by download indica il download involontario di codice dannoso nel computer o in un dispositivo mobile che ti lascia esposto a un cyberattacco. Non devi per forza fare clic su qualcosa, premere il pulsante di download o aprire un allegato e-mail dannoso per infettarti.

Un download drive-by può sfruttare un'app, un sistema operativo o un browser Web che contiene vulnerabilità di sicurezza dovute ad aggiornamenti non riusciti o a una mancanza di aggiornamenti. A differenza di molti altri tipi di cyberattacchi, un drive-by download non prevede che l'utente faccia qualcosa per attivare effettivamente l'attacco.

I drive-by download sono progettati per violare un dispositivo per uno o più dei seguenti scopi:

1. Dirottare il dispositivo, per creare un botnet, infettare altri dispositivi o violare ulteriormente il tuo.
2. Spiare le tue attività, per sottrarre credenziali online, informazioni finanziarie o la tua identità.
3. Danneggiare i dati o disabilitare il dispositivo, semplicemente per causare problemi o danneggiarti personalmente.

Senza un adeguato software di sicurezza o correzioni per le vulnerabilità, potresti essere vittima di un attacco di tipo drive-by download.

Come funzionano gli attacchi drive-by download?

Se ti sei mai chiesto cosa sia un attacco drive-by download, sei già a buon punto. Dal momento che si infiltra silenziosamente anche nei "siti sicuri", la maggior parte degli utenti non ha idea di come sia stata infettata.

Sono due i modi principali in cui un drive-by download dannoso si insinua in un dispositivo:

1. Autorizzato senza conoscere le piene implicazioni: effettui un'azione che porta a un'infezione, come fare clic su un collegamento in un avviso di sicurezza contraffatto o scaricare un Trojan.
2. Completamente non autorizzato senza alcuna notifica: visiti un sito e vieni infettato senza ulteriori prompt o altre azioni. Questi download possono trovarsi ovunque, anche in siti legittimi.

Sapere esattamente che cos'è un drive-by download è importante quanto sapere come individuare un'esca per un attacco. Andiamo a esaminare ognuno di questi metodi per individuare i possibili campanelli di allarme.

Download autorizzati con payload nascosti

I drive-by download autorizzati sono più semplici e possono addirittura essere individuati prima dell'attacco:

• L'hacker crea un vettore per la distribuzione del malware: messaggio online, annunci, download di programmi legittimi.
• La vittima interagisce con il vettore: fa clic su un collegamento ingannevole, scarica software e così via.
• Il malware viene installato nel dispositivo, perché l'utente non rinuncia espressamente a software extra o arriva in un sito infestato da malware.
• L'hacker si infiltra con successo nel tuo dispositivo: il malware assume il controllo dei dati senza il tuo consenso.

Il software o i siti Web possono sembrare innocui, ma sono corrotti dal malware. In realtà, uno dei pericoli maggiori è la facilità di attirare visitatori verso siti o app che sembrano innocenti.

Ad esempio, potresti ricevere un collegamento via e-mail o un post nel feed sui social media, mascherato per sembrare proveniente da fonti attendibili. Questa tattica di social engineering viene utilizzata per indurre la vittima a fare clic sul collegamento e aprirlo. Una volta che il sito Web è aperto, il drive-by download viene installato automaticamente nel computer o nel dispositivo mobile. Questa tattica viene utilizzata per indurre la vittima a fare clic sul collegamento e aprirlo. Una volta che il sito Web è aperto, il drive-by download viene installato automaticamente nel computer o nel dispositivo mobile.

Il bundleware è un metodo "autorizzato" ampiamente diffuso, che utilizza programmi secondari collegati al download dell'effettivo programma desiderato. Questi programmi/applicazioni potenzialmente indesiderati (PUP/PUA) possono nascondere malware o costituire a loro volta malware. Questo software di solito si presenta come opzione da disattivare espressamente durante il download di software gratuito o shareware.

Anche il phishing può essere utilizzato per indurre la vittima a effettuare un drive-by download. Eventuali pop-up o messaggi online fraudolenti si spacciano come provenienti da organizzazioni che conosci e di cui ti fidi. Potresti visualizzare una notifica contraffatta su una violazione di sicurezza nel browser Web o ricevere un'e-mail fittizia dalla tua banca riguardo a un data breach. Si tratta di stratagemmi per impaurirti e indurti a fare clic su un collegamento o scaricare un allegato e venire così infettato.

Download non autorizzati a tua insaputa

Un drive-by download non autorizzato funziona in modo semplice pur svolgendosi in più fasi:

1. L'hacker compromette una pagina Web, collegando un componente dannoso a una vulnerabilità di sicurezza.
2. La vittima attiva il componente visitando la pagina e il componente individua le falle di sicurezza del dispositivo.
3. Il componente scarica il malware nel dispositivo, sfruttando la vulnerabilità.
4. Il malware fa il suo lavoro, permettendo all'hacker di interrompere o controllare l'attività del dispositivo o di sottrarre informazioni.

Come già detto in precedenza, il codice dannoso non autorizzato viene distribuito direttamente da siti Web compromessi. Tuttavia, il codice viene inserito in questi siti dagli hacker. I loro metodi si basano sulle naturali falle della tecnologia digitale, oltre che su procedure di sicurezza non sicure.

I kit di exploit sono costituiti da software che viene utilizzato per compromettere server Web vulnerabili e i tuoi dispositivi. Questi kit identificano le vulnerabilità software in computer e browser Web per determinare quali sistemi sono facili da ottenere. I kit di exploit spesso ricorrono a piccole porzioni di codice progettato per eludere le semplici difese e passare ampiamente inosservato. Il codice è il più semplice possibile per concentrarsi su un unico obiettivo: contattare un altro computer per introdurre il resto del codice di cui ha bisogno per accedere a un dispositivo mobile o a un computer.

Le vulnerabilità di sicurezza scoperte dai kit di exploit sono inevitabili nell'era digitale. Nessun software o hardware può essere perfetto. Proprio come è possibile introdursi in un edificio dopo un attento studio e la dovuta pianificazione, è possibile penetrare anche in un software, una rete o un'altra infrastruttura digitale. Le vulnerabilità si presentano sotto diverse forme comuni:

• Exploit zero-day: falle di sicurezza prive di correzioni o patch note.
• Exploit noti: problemi di sicurezza che dispongono di correzioni note ma non installate.

Gli exploit zero-day sono difficili da evitare, ma i problemi noti vengono manipolati semplicemente per via di procedure di cybersecurity scarse. Se gli utenti endpoint e gli amministratori Web non riescono ad aggiornare tutto il software in maniera tempestiva, ritarderanno anche gli aggiornamenti per la sicurezza essenziali ed è proprio su questo che fanno affidamento gli hacker.

I drive-by download sono di gran lunga una delle minacce più difficili da prevenire. Senza la dovuta attenzione al dettaglio e una sicurezza avanzata in tutti i punti di contatto, l'attività Web diventa molto più pericolosa.

Come evitare gli attacchi tramite drive-by download

Come per molti aspetti della cybersecurity, la migliore difesa è la cautela. Non bisogna mai dare per scontata la sicurezza. Noi di Kaspersky abbiamo compilato alcune delle migliori indicazioni su come evitare di scaricare codice dannoso.

In che modo i gestori di siti Web possono impedire i drive-by download

Il gestore di un sito Web costituisce la prima linea di difesa contro gli hacker che prendono di mira gli utenti del sito. Per una maggiore tranquillità del gestore e dei visitatori del sito, è opportuno consolidare l'infrastruttura con questi suggerimenti:

1. Mantieni sempre aggiornati tutti i componenti del sito Web. Questo include tutti i temi, gli add-on, i plug-in o qualsiasi altra infrastruttura. Ogni aggiornamento offre nuove correzioni di sicurezza per tenere lontano gli hacker.
2. Rimuovi eventuali componenti obsoleti o non supportati del sito Web. Senza regolari patch di sicurezza, il software obsoleto è l'occasione perfetta per studiare e mettere in atto una frode.
3. Usa nomi utente e password complessi per gli account di amministrazione. Gli attacchi di forza bruta consentono agli hacker di violare quasi istantaneamente le password predefinite o quelle deboli come "password1234". Utilizza un generatore di password oltre a un gestore password per rimanere al sicuro.
4. Installa un software di sicurezza Web protettivo nel sito. Un software di monitoraggio contribuirà a tenere sotto controllo eventuali modifiche dannose al codice back-end del sito.
5. Prendi in considerazione come l'uso di annunci pubblicitari possa influire sugli utenti. Gli annunci pubblicitari sono un vettore molto diffuso per i drive-by download. Accertati che gli utenti non ricevano annunci consigliati sospetti.

Sette suggerimenti per gli utenti endpoint

Gli utenti endpoint devono affidarsi maggiormente alle varie funzionalità di sicurezza offerte dal software in uso. I suggerimenti riportati di seguito ti aiutano a essere pronto a contrastare un attacco di tipo drive-by download:

1. Utilizza l'account amministratore del computer solo per le installazioni dei programmi. I privilegi di amministratore sono indispensabili per installare drive-by download senza il tuo consenso. Dal momento che questa impostazione è predefinita sull'account principale, ricorri a un account secondario non di amministrazione per l'uso quotidiano.
2. Mantieni aggiornati il browser Web e il sistema operativo. Le nuove patch aiutano a sigillare le falle nelle difese attraverso cui potrebbe farsi largo il codice del drive-by download. Non aspettare e non ritardare gli aggiornamenti, ma installali non appena vengono rilasciati.
3. Fai attenzione a non tenere troppe app o programmi non necessari. Quanti più plug-in hai sul dispositivo, tanto più sarai vulnerabile a possibili infezioni. Tieni solo il software che ritieni attendibile e che usi spesso. Rimuovi anche eventuali app obsolete per cui non sono più previsti aggiornamenti.
4. Utilizza una soluzione software di sicurezza Internet in tutti i dispositivi. Prodotti come Kaspersky Premium tengono automaticamente aggiornate le definizioni del malware per identificare le minacce più recenti. Consentono inoltre di eseguire la scansione dei siti Web in modo proattivo per bloccare siti compromessi noti.
5. Evita sempre i siti Web che possono contenere codice dannoso. I siti che offrono file in condivisione e contenuto per adulti sono punti comuni di infezione. Visita solo i siti mainstream che utilizzi normalmente o quanto meno siti ben consolidati, per migliorare le tue probabilità di non contrarre infezioni.
6. Leggi ed esamina attentamente i pop-up di sicurezza sul Web prima di fare clic. I truffatori utilizzano annunci pop-up fittizi nei browser mobili e per computer desktop che sembrano avvisi legittimi. Per evitare di essere reindirizzato a un sito di attacco, fai attenzione a errori di ortografia, grammatica scarsa e immagini sgranate.
7. Utilizza uno strumento di blocco delle pubblicità. Gli attacchi di tipo drive-by download spesso ricorrono ad annunci online per caricare infezioni. L'uso di uno strumento di blocco delle pubblicità può contribuire a ridurre l'esposizione a questo tipo di attacchi.

Articoli correlati:

• Cos'è il malware? Come possiamo proteggerci?
• Le 10 attività online potenzialmente pericolose
• Cos'è lo spear phishing?