Malware camuffati da certificati di sicurezza: la nuova scoperta di Kaspersky

In più occasioni è capitato che dei malintenzionati tentassero di installare dei malware spacciandoli per aggiornamenti software, ad esempio della versione di Flash. Quest'anno però i ricercatori di Kaspersky si sono imbattuti in un approccio nuovo, nel quale il malware viene veicolato tramite un falso certificato di sicurezza.

Non aggiornate quel certificato

La nuova metodologia di attacco scoperta da Kaspersky è stata usata a partire dal 16 gennaio 2020 ed è stata veicolata tramite vari siti, fra i quali quello di uno zoo e quello di un rivenditore di componenti per il mondo automotive. I visitatori di questi siti si trovavano di fronte a un messaggio che li avvisava della presenza di un certificato di sicurezza scaduto.

Il messaggio appariva all'interno di un iFrame che si sovrapponeva alla finestra principale, lasciando visibile il nome del sito originale, e quindi garantendo un falso senso di sicurezza. Acconsentendo all'aggiornamento, veniva scaricato il file Certificate_Update_v02.2020.exe, usato per veicolare almeno due tipi di malware: Buerak e Mokes. Quest'ultimo, in particolare, è piuttosto insidioso, dal momento che riesce a nascondersi efficacemente nel sistema ed è in grado di prendere screenshot dello schermo a intervalli regolari e inviarli agli attaccanti: viene usato per sottrarre credenziali di accesso.  

"Le persone sono particolarmente inclini a cadere nella trappola di questo tipo di minaccia perché si tratta di attacchi che prendono di mira siti web legittimi che l’utente probabilmente ha già visitato e conosce" - spiega "Inoltre, l'indirizzo indicato nell'iframe è, di fatto, il vero indirizzo del sito web. L’utente è quindi incentivato ad "installare" il certificato raccomandato per poter visualizzare il contenuto desiderato. Tuttavia, gli utenti dovrebbero sempre essere prudenti quando viene richiesto di scaricare qualcosa da una fonte online, è possibile che non sia davvero necessario".