Con la continua evoluzione delle truffe di phishing, l’emergere di Malware as a Service (MaaS) che prendono di mira specificamente gli utenti Windows evidenzia questa tendenza. Sebbene Microsoft abbia adottato misure per rispondere a queste minacce, la truffa sottostante rimane attiva. Ecco un’analisi più approfondita del funzionamento di questa sofisticata truffa e delle misure che è possibile adottare per proteggersi.
Comprendere la truffa di phishing Malware as a Service
Le truffe di phishing in genere sfruttano e-mail, messaggi di testo, pop-up o siti web fuorvianti per ingannare gli utenti. Una strategia recente identificata dagli esperti di Microsoft Defender prevede l’utilizzo di applicazioni attendibili per indurre gli utenti a installare malware, complicando così le attività di rilevamento.
Nella maggior parte dei casi, Windows è in grado di bloccare questo tipo di malware grazie all’assenza di un certificato di sicurezza valido. In questo caso, un certificato Extended Validation (EV) svolge un ruolo cruciale, garantendo agli utenti la legittimità di un marchio e la protezione dai tentativi di phishing. Tuttavia, i truffatori hanno escogitato una soluzione alternativa ingegnosa.
Hanno creato una facciata di legittimità creando TrustConnect Software PTY LTD, una società fittizia. Utilizzando l’intelligenza artificiale, hanno creato un’identità aziendale completa, che includeva un sito web, recensioni positive e metriche sui clienti. Dopo aver ottenuto con successo un certificato EV, hanno reso il loro malware affidabile agli occhi degli utenti e dei sistemi.
Ciò significa che i truffatori hanno ottenuto legalmente un certificato EV valido, anziché ricorrere al furto o alla contraffazione. Di conseguenza, qualsiasi malware da loro distribuito viene immediatamente riconosciuto come legittimo da Windows.
Per verificare il certificato di un’app in Windows, è sufficiente fare clic con il pulsante destro del mouse sul file eseguibile e andare su Proprietà → Firme digitali → Dettagli → Visualizza certificato.
La situazione si è ulteriormente aggravata quando TrustConnect è diventata un’attività legittima, al servizio di imprenditori disonesti. Ha adottato un modello di business MaaS, offrendo abbonamenti a partire da 300 dollari al mese in criptovalute per consentire ad altri di eseguire attacchi di phishing.
Gli utenti vengono presi di mira con e-mail contenenti file PDF, inviti a riunioni e altri contenuti apparentemente innocui che nascondono link dannosi. I link spesso invitano gli utenti ad “aggiornare” applicazioni come Adobe Acrobat o Zoom. Una volta che gli utenti vengono indotti a cliccare su “Aggiorna”, installano inconsapevolmente malware.
I file eseguibili più comuni come adobereader.exe, trustconnectagent.exe, msteams.exe, zoomworkspace.clientsetup.exe, e invite.exevengono eseguiti senza problemi e senza destare sospetti, poiché contengono firme EV valide. Questo fa sì che il malware crei cartelle all’interno di Programmi e si avvii all’avvio, come qualsiasi altra applicazione, complicandone il rilevamento anche per gli utenti più esperti di tecnologia.
Revoca del certificato EV: una soluzione limitata
Si potrebbe supporre che la revoca del certificato EV smantelli di fatto le attività di phishing di TrustConnect, ma la realtà è più complicata. Sebbene questa misura impedisca a qualsiasi nuovo malware di acquisire un certificato EV, non invalida retroattivamente i certificati emessi in precedenza.
Di conseguenza, qualsiasi malware precedentemente certificato continua a essere considerato legittimo da Windows. Di conseguenza, gli utenti devono adottare misure proattive per proteggersi. Sebbene i clienti aziendali siano i principali obiettivi, i singoli utenti non dovrebbero considerarsi immuni.
Inoltre, gli esperti di sicurezza hanno scoperto che gli autori di TrustConnect stanno già sviluppando un’altra variante del malware, denominata DocConnect, che impiega tattiche simili.
Formattazione: un approccio consigliato
Le ricerche indicano che i tentativi di eliminare il malware scoprono livelli di sicurezza ancora più avanzati di quanto inizialmente ipotizzato. Il malware di TrustConnect installa vari framework di monitoraggio e gestione remota (RMM) per mantenere un accesso continuo ai sistemi compromessi. Di conseguenza, la semplice rimozione di un framework è solo una frazione di quanto necessario.
Per chi è stato colpito, la formattazione del computer rappresenta la soluzione più efficace per garantire la completa rimozione del malware.È fondamentale eseguire prima il backup dei file; una volta reinstallato Windows, è consigliabile eseguire una scansione antivirus approfondita sui backup prima di ripristinarli. Fortunatamente, poiché il malware si maschera da applicazione Windows, è meno probabile che sia collegato a documenti o foto.
Negli ambienti aziendali, è consigliabile che gli amministratori IT impediscano agli utenti di eseguire autonomamente gli aggiornamenti software.
Attenzione agli aggiornamenti delle app dai link
TrustConnect non è l’unica azienda a utilizzare aggiornamenti ingannevoli delle app per l’installazione di malware. Il vantaggio esclusivo di queste aziende era un certificato valido, che rendeva più difficile per le soluzioni di sicurezza rilevarne le attività.
Se ti ritrovi a cliccare su un link proveniente da una fonte apparentemente affidabile che richiede un aggiornamento dell’app, interrompi immediatamente l’operazione. Evita di procedere con l’aggiornamento.
In alternativa, apri l’applicazione in modo indipendente e verifica la presenza di aggiornamenti tramite le impostazioni o il menu della guida. Per le app scaricate originariamente da Microsoft Store, gli aggiornamenti dovrebbero essere scaricati direttamente dallo Store.
Se non sono disponibili aggiornamenti, puoi essere certo che il collegamento riscontrato è dannoso. Dato che i processi possono cambiare frequentemente, è consigliabile installare le nuove applicazioni in un ambiente sandbox per valutarne la sicurezza prima di integrarle completamente.
Pensiero critico per collegamenti inaspettati
È improbabile che la diffusione delle truffe di phishing diminuisca. Una delle misure di protezione più efficaci è quella di verificare la presenza di link inaspettati prima di interagire con essi. Di recente, ho ricevuto un’e-mail che sembrava offrire un sondaggio sulle tariffe dell’assicurazione auto. Nonostante l’autenticità del mittente, ho scelto di visitare direttamente il sito web della mia compagnia assicurativa anziché cliccare sul link. Si è rivelato un tentativo di phishing.
Se non sei sicuro della legittimità di un link, non cliccare. Per qualsiasi comunicazione di lavoro, contatta separatamente il presunto mittente per verificarlo. Dai priorità alla sicurezza rispetto alla curiosità ed evita di rispondere ai messaggi, poiché questo non farebbe altro che coinvolgere il truffatore e aumentare il rischio.
Con l’emergere di nuovi schemi di phishing ogni giorno, che si infiltrano persino in piattaforme come LinkedIn, è fondamentale rimanere informati e vigili. Sebbene il Malware as a Service presenti un nuovo livello di complessità, consapevolezza e cautela possono aiutare gli utenti a eludere queste truffe.
Articoli correlati:
Perché sono passato da Claude Code a Codex e mi pento di non averlo fatto prima
9:36
Comprendere NVIDIA DLSS: una spiegazione dell’upscaling e delle soluzioni alternative
9:34
Comprendere l’emulazione: vantaggi principali, svantaggi e approfondimenti.
9:32
Lascia un commento