Ora tutti possono infettare o spiare un computer
Adwind, il software spia dato in abbonamento a migliaia di clienti. Ecco come funziona.
Un programma in grado di infettare e spiare computer, venduto a chiunque in abbonamento come fosse una sottoscrizione a Spotify o a Netflix. Facile da usare anche per persone non eccessivamente esperte, e di fatto usato da decine di migliaia di “clienti”, abbonati alla piattaforma messa in piedi da alcuni (o forse addirittura uno solo) cybercrininali.
Sono alcuni dei dettagli divulgati dalla società di sicurezza informatica Kaspersky nel corso del suo congresso annuale (quest’anno a Tenerife, Spagna). I ricercatori dell’azienda russa per tre anni hanno dato la caccia alle innumerevoli mutazioni di un malware, un software malevolo, usato per infettare e spiare computer in tutto il mondo, indipendentemente dai diversi sistemi operativi. La particolarità di questo malware – chiamato Adwind – è di essere venduto come un servizio online, con tanto di sottoscrizione (dalle due settimane a più mesi). E tutto ciò non nei meandri del cosiddetto Dark Web, ma alla luce del sole, sulla Rete in chiaro, attraverso un sito dall’aria legittima ospitato su vari domini, incluso un .org.
Secondo le stime di Kaspersky, sarebbero ben 1800 i clienti che avrebbero utilizzato questa piattaforma per attaccare vari target, a discapito di almeno 400mila utenti-vittime, individui o aziende sparse soprattutto in una decina di Paesi, dalla Germania alla Turchia, dagli Stati Uniti all’Italia. Ma che cosa è Adwind? In gergo di tratta di un RAT (Remote Access Tool), un software malevolo che sfruttando vulnerabilità del software Java (quindi potenzialmente in grado di raggiungere diverse piattaforme e sistemi operativi, Windows, Linux, OS X, Android) si installa di nascosto sul computer target e ne prende il controllo da remoto.
In particolare il programma è in grado di rubare le password degli utenti, registrare quanto digitato sulla tastiera, prendere screenshot del monitor, scattare foto con la webcam, attivare il microfono. Inoltre sembra essere invisibile alla maggior parte degli antivirus. Insomma, ha tutte le caratteristiche più importanti di un trojan e di uno spyware mediamente sviluppato.
Adwind è solo una delle più recenti incarnazioni di un programma malevolo noto come Frutas, sviluppato qualche anno fa su un forum spagnolo. Da allora ha preso nuovi nomi – AlienSpy, Jsocket, Jrat – e nuove funzionalità, ma la novità emersa in questi ultimi mesi, insieme a un maggior livello di sofisticazione, è la consacrazione di un modello di business, che lo distribuisce esattamente come fa Spotify con i propri abbonamenti. Solo che in questo caso invece di noleggiare l’ascolto di musica si affittano strumenti per hackerare computer e sottrarre dati dagli stessi.
Sia chiaro, l’idea di affittare strumenti offensivi nel mondo cybercriminale non è nuova, basti pensare a quello che avviene con le botnet – le reti di pc usate per compiere attacchi – spesso date e prese a nolo da più soggetti. Tuttavia qui abbiamo un servizio che viene utilizzato in modo piuttosto semplice da 1800 clienti. Che si iscrivono al sito, e iniziano a usare dei file infetti da mandare in giro via mail. Una volta infettate le vittime designate, si collegano ancora al servizio e al centro di comando del malware per accedere ai dati rastrellati dai target.
Gli utilizzatori sono perlopiù truffatori, scammers, che provano ad aggiornare il proprio arsenale di mail truffaldine con sistemi più avanzati, tentando di infettare un ampio numero di utenti. Ma Adwind viene usato anche per attacchi mirati, tentativi di cyberspionaggio, tanto da essere stato rinvenuto pure sul cellulare del pubblico ministero argentino Alberto Nisman, morto in circostanze misteriose nel gennaio 2015.
«L’infezione avviene è in genere attraverso un allegato .Jar, che spesso viene inviato insieme a un file pdf dall’aria legittima», spiega alla Stampa Vitaly Kamluk, ricercatore del Kaspersky Lab. «Il sito che fornisce il servizio finge di essere quasi un business legale, alla luce del sole, e sebbene sia stato sospeso più volte è sempre riemerso con un altro nome e dominio». Tra le vittime che hanno ricevuto gli allegati infetti anche molti italiani, aggiunge Kamluk. E di fatto la presenza di Adwind nel nostro Paese appare in crescita negli ultimi anni. Il malware e il servizio sono ancora attivi. (fonte)
Il consiglio degli esperti è di disabilitare Java quando possibile.
