Articles /

Cosa sono gli Infostealer?

Un infostealer è un pezzo di software dannoso (malware) che tenta di rubare le informazioni. Malware più complessi come trojan bancari (ad esempio TrickBot) e stalkerware di solito includono componenti infostealer.

Nella maggior parte dei casi, questo significa rubare informazioni che possono fare soldi per i criminali informatici.

Ecco alcune cose che i criminali possono rubare e trasformare in denaro:

  • il tuo carta di credito informazioni possono essere utilizzate direttamente o rivenduto ad altri che fanno acquisti con la tua carta,
  • il tuo account di accesso può quindi essere utilizzato per rubare i vostri ultimi acquisti (per esempio il Fortnite o Animal Crossing acquisti in-game) che può essere rivenduto,
  • il tuo account di accesso in grado di comprare cose nuove, se avete salvato la vostra carta di credito,
  • il tuo account di accesso può essere venduto se stessi:
    • gli account sono spesso venduti alla rinfusa ad altri specialisti di cyber crime per tentare di monetizzare,
    • alcuni account sono individualmente preziosi, ad esempio account Instagram o Snapchat con maniglie ricercate
  • potenzialmente foto e documenti possono essere utilizzati per ricatti o monetizzati in altri modi:
    • le aziende colpite dal ransomware affrontano sempre più la prospettiva che i loro dati interni e la proprietà intellettuale vengano pubblicati online se non pagano
    • nel 2014, un gran numero di donne famose aveva foto estremamente private rubate dai loro account iCloud e pubblicate, qualcosa che ha tratto profitto in modo significativo da alcuni proprietari di siti Web non etici

I criminali sono creativi e questo è grande, professionale, business.

Esempio Trojan bancario

Esempio trojan bancario Android con screenshot passo-passo

Esempio trojan bancario Android con screenshot passo-passo

Gli attacchi Infostealer possono essere veramente diabolici.

Prendiamo ad esempio il funzionamento di un trojan bancario Android che abbiamo visto diffondersi in 2017.

L’utente riceve un SMS con un link per scaricare un’app con video divertenti. Quando si installa, viene chiesto loro di accettare le autorizzazioni per l’app. L’utente senza dubbio lo fa senza controllare, perché comunque nessuno capisce tutte queste autorizzazioni.

L’applicazione ha un paio di veri e propri “video divertenti” all’interno.

Tuttavia, il suo vero compito è aspettare che tu apra la tua app bancaria. Quando ti vede farlo, guarda nella sua libreria di app bancarie e utilizza il permesso che gli hai dato per disegnare sulla parte superiore della schermata di accesso della tua app bancaria con una copia esatta falsa della schermata di accesso.

Inserisci i tuoi dati di accesso e ruba il tuo nome utente e password. Allo stesso tempo, ti registra nell’app reale che è nascosta dietro la schermata di accesso falsa identica, in modo che tutto ti sembri normale.

Ora il trojan ti aspetta per finire con la tua banca. Quindi accede nuovamente alla tua banca senza il tuo aiuto e cerca di trasferire i tuoi soldi.

Quando questo accade la banca ti invia un codice SMS per confermare il pagamento-l’applicazione cattura il codice utilizzando un altro permesso che hai dato al momento dell’installazione, e anche elimina il messaggio SMS in modo da non sapere nulla è successo.

Diabolico!

Non solo per i soldi

Mentre il denaro è di gran lunga il motivo più comune per gli attacchi infostealer, non è l’unica ragione.

Come con iCloud e molti casi simili, le informazioni sulle persone più vulnerabili delle nostre società (donne, bambini, persone LGBTQIA+, persone di colore e altri) sono specificamente prese di mira da coloro che cercano di sfruttare quelle persone o di causarle violenza.

Sappiamo che ci sono società “legali” spudorate che vendono stalkerware, commercializzandolo specificamente a molestatori domestici, genitori abusivi e stalker per essere in grado di spiare e controllare i loro obiettivi. Questo è il motivo per cui F-Secure fa parte della coalizione a livello di settore contro Stalkerware. Stalkerware sono generalmente trojan nascosti, che includono una parte pesante della tecnologia infostealer-rubare le foto di un bersaglio, cronologia delle chiamate, cronologia chat, cronologia delle posizioni, e altro ancora.

Gli infostealer sono anche utilizzati come parte del cyber bullismo, in cui l’accesso agli account di un target può essere utilizzato per pubblicare contenuti imbarazzanti, per rimuovere amici, rimuovere l’accesso o come parte di una campagna generale di gaslighting.

Attacchi più mirati che utilizzano infostealer sono perpetrati dai governi contro attivisti, giornalisti e politici dell’opposizione, sempre con l’aiuto di società “legali” spudorate che vendono questo malware sapendo come verrà utilizzato.

Il famigerato omicidio 2018 del giornalista Jamal Khashoggi, ad esempio, si ritiene abbia coinvolto le tecnologie infostealer utilizzate contro i suoi colleghi, portando all’omicidio di una delle sue fonti, e potenzialmente essere stato usato per conoscere il suo programma in anticipo per pianificare il suo omicidio.

Inoltre, all’inizio del 2020, abbiamo appreso di software simili utilizzati contro la persona più ricca del mondo, Jeff Bezos, probabilmente a causa della segnalazione del quotidiano Washington Post di cui è proprietario.

Quanto sono comuni gli Infostealer?

Secondo i dati di F-Secure appena pubblicati nel nostro rapporto H1 2020 Attack Landscape, infostealers ora dominano la top 20 minacce malware utenti si trovano ad affrontare.

Se includi trojan e RATs (Trojan di accesso remoto) che contengono anche elementi infostealer, il malware che ruba le tue informazioni costituisce 18 delle prime 20 minacce da cui F-Secure ha dovuto proteggere i nostri utenti.

Top 20 minacce viste da F-Secure in H1 2020

Top 20 minacce viste da F-Secure in H1 2020

Gli infostealer dominano anche l’e-mail di spam che i nostri utenti ricevono, con il 75% degli allegati e-mail a tema coronavirus che abbiamo visto distribuire Lokibot o Formbook, infostealer che sono stati trovati consegnati rispettivamente nel 38% e nel 37% degli allegati COVID.

Esempio di una e-mail di spam del mondo reale, che finge di provenire da una grande banca, utilizzata per distribuire Lokibot infostealer/trojan.

Esempio di una e-mail di spam del mondo reale, che finge di provenire da una grande banca, utilizzata per distribuire Lokibot infostealer/trojan.

Nell’ultimo mese in Finlandia, 131 utenti su 10K hanno avuto un tentativo di infezione da infostealer o trojan bloccato dal nostro software – il 64% di tutte le minacce affrontate.

Top 10 delle minacce rilevate da F-Secure End-Point software di Protezione in Finlandia nell'Ultimo Mese (2020-Settembre)

Top 10 delle minacce rilevate da F-Secure End-Point software di Protezione in Finlandia nell’Ultimo Mese (2020-Set)

Minacce rilevate da F-Secure End-Point software di Protezione in Finlandia nell'Ultimo Mese (2020-Settembre) diviso per tipo di minaccia

Minacce rilevate da F-Secure End-Point software di Protezione in Finlandia nell’Ultimo Mese (2020-Set di suddivisione per tipo di minaccia

Per la Svezia era 149 di ogni 10K utenti che avevano un infostealer o trojan tentativo di infezione bloccato dal nostro software, o il 47% di tutte le minacce affrontate.

Top 10 delle minacce rilevate da F-Secure End-Point software di Protezione in Svezia nell'Ultimo Mese (2020-Settembre)

Top 10 delle minacce rilevate da F-Secure End-Point software di Protezione in Svezia nell’Ultimo Mese (2020-Set)

Minacce rilevate da F-Secure End-Point software di Protezione in Svezia nell'Ultimo Mese (2020-Settembre) diviso per tipo di minaccia

Minacce rilevate da F-Secure End-Point software di Protezione in Svezia nell’Ultimo Mese (2020-Set di suddivisione per tipo di minaccia

Come Fare Infostealers farmi?

La grande maggioranza di tutte le infezioni da malware, inclusi gli infostealer, arriva tramite e-mail di spam.

L’infezione avviene tramite un allegato all’e-mail o un sito Web dannoso collegato all’e-mail.

Per i siti web, negli ultimi anni la maggior parte delle infezioni provengono da voi ingannando manualmente il download e l’installazione di software dal sito. Vediamo ancora una minoranza di casi in cui l’infezione diretta avviene senza il vostro aiuto tramite “exploit kit”.

Le stesse tecniche che vengono utilizzate da e-mail di spam per ingannare le persone a installare e fare clic sono utilizzati anche via SMS, Whatsapp, Facebook Messenger, e anche tramite telefonate.

Ancora una volta, i criminali sono creativi e persistenti. Hanno solo bisogno di poche persone a fare clic per rendere la loro intera campagna redditizia.

Nella maggior parte dei casi, non sei specificamente il bersaglio – piuttosto i criminali stanno inviando la loro esca a migliaia o milioni di persone e in attesa che alcune persone facciano clic e facciano il giorno del criminale.

Ci sono alcuni modi comuni che i criminali(e gli inserzionisti!) usa per cercare di farci spegnere il cervello e basta cliccare.

Queste sono cose che dovrebbero farti mettere in pausa e fare un passo con cautela quando le vedi:

  • “Free” – solo quella parola è sufficiente in molti casi per ottenere una vendita. Il compratore attenzione!
  • Allo stesso modo, tutto ciò che è “troppo bello per essere vero” -hai davvero vinto un viaggio a pagamento in tutto il mondo? Hai davvero appena ricevuto una lista di tutti gli stipendi dei tuoi capi per errore? Probabilmente no.
  • Urgenza – ” sbrigati sbrigati, mancano solo cinque minuti – – se qualcuno sta cercando di farti accelerare, questo è un ottimo momento per rallentare e guardare attentamente.
  • Conoscenza insider-sanno il tuo compleanno, il nome del tuo capo, e dove sei andato a scuola, deve essere reale. Tranne che tutte le informazioni sono facilmente disponibili online. Non dare loro ulteriori informazioni prima di essere sicuri che sono chi dicono di essere.
  • Autorità-se è l’FBI “ti cattura” facendo qualcosa di cattivo sul tuo computer, o il tuo capo che ti dice di sbrigarti e trasferire un milione di dollari per un affare super segreto, ricorda che è molto facile fingere di essere qualcun altro via e-mail, testo o altre app.

In tutti questi casi, considera di cercare il numero di telefono reale o l’indirizzo e-mail di quella persona o organizzazione sulla tua directory aziendale interna o sul sito ufficiale del tuo governo/banca e di richiamare per controllare prima di intraprendere un’azione.

Ecco alcuni altri esempi di trucchi utilizzati nel recente romanzo di spam coronavirus correlati.

Come posso stare al sicuro?

Il modo principale per proteggersi dagli infostealer è installare un buon software anti-malware sui tuoi dispositivi. Il software anti-malware ti protegge in tre modi principali.

Il primo modo è fermare direttamente il software infostealer che tenta di installare o eseguire sul dispositivo. Può fermare un infostealer sia riconoscendo direttamente il software difettoso (le cosiddette” firme”) sia riconoscendone il comportamento (il cosiddetto rilevamento” next-gen”).

Il secondo modo è quello di fermarti a visitare i siti Web dannosi che sono la fonte di molte di queste infezioni, in altre parole “protezione della navigazione”.

E il terzo modo è specifico per il settore bancario e lo shopping online in cui un buon software anti-malware attiverà protezioni aggiuntive quando ti connetti al sito Web della tua banca per confermarti che non è un falso, e anche per impedire ad altre applicazioni e schede del browser di fare qualsiasi cosa per interferire con la tua connessione.

Naturalmente, nulla ti darà mai una protezione al 100% e non tutti gli attacchi ai tuoi account e alle tue informazioni arrivano tramite malware.

Per questo motivo, una delle cose migliori che la maggior parte delle persone può fare per migliorare la propria sicurezza è iniziare a utilizzare un gestore di password.

Un gestore di password ti consente di non preoccuparti anche quando i tuoi dati per un servizio sono esposti, perché la tua password è sia difficile da decifrare, e anche se incrinata, darà solo ai criminali l’accesso a un account, non a tutti i tuoi account.

Non solo, un gestore di password è probabilmente più facile di qualsiasi cosa tu faccia con le tue password oggi, grazie alla facile compilazione automatica su tutti i tuoi dispositivi e senza mai dover usare “forgot my password”.

Mantieni la calma e usa un adesivo per laptop Password Manager

Mantieni la calma e usa un adesivo per laptop Password Manager

Naturalmente a F-Secure, siamo un po ‘ prevenuti! 😀 Se vuoi, puoi ottenere la nostra soluzione anti-malware multi-dispositivo e il nostro gestore di password qui. Inoltre, questo pacchetto include la nostra soluzione di protezione ID che ti avviserà se i nostri scanner dark / deep web e i team di intelligence umana trovano i tuoi dati in violazioni online, e il pacchetto include anche la nostra premiata soluzione VPN.

Una volta che si sta utilizzando un gestore di password, e si spera uno che sta notificando ogni volta che una violazione dei dati è stato rilevato on-line, il passo successivo è quello di attivare 2-factor (2FA) o multi-factor authentication (MFA) sul maggior numero di account possibile.

MFA ti aiuta a proteggerti anche se la tua password viene rubata, poiché l’attaccante dovrà comunque ottenere il tuo token, oltre alla tua password, per poter accedere alle tue informazioni.

Ricordate il trojan bancario Android sopra? Ecco perché voleva il permesso di leggere i tuoi SMS.

Quando si accende MFA, se possibile impostare MFA utilizzando un One Time Password (OTP) app sul telefono (ad esempio FreeOTP) o con un generatore OTP fisico come un Yubikey, invece di utilizzare SMS con il tuo numero di telefono.

Le app OTP e le chiavi fisiche sono ancora più sicure degli SMS nei casi in cui si è presi di mira personalmente, perché i cosiddetti attacchi “SIM-swapping” non sono possibili. Se queste opzioni non sono disponibili, si prega di fare ancora attivare MFA SMS-based sul tuo account.

Qualsiasi MFA è meglio di nessun MFA!

L’ultima linea di difesa sei Tu

Naturalmente tutte queste protezioni possono ancora essere aggirate se fornisci la tua password e il token all’attaccante, sia per errore che perché sei costretto.

Gli errori accadono, specialmente quando siamo occupati, stanchi e stressati. Ancora non c’è mai una buona ragione per dare a qualcuno il tuo token MFA – prova a ricordarlo, e se in un momento di debolezza ti senti iniziare ad accettare di farlo, spero che rallenterai e ti fermerai.

Se ti trovi in una situazione in cui sei costretto a dare accesso ai tuoi account e alle tue informazioni, è disponibile l’aiuto. Gli esempi includono l’operazione Safe Escape e Le Refuge. Se ciò si applica a te, fai attenzione, ove possibile e sicuro per te, ad accedere a queste risorse solo in momenti, luoghi e su dispositivi che non sono noti al tuo aggressore, ad esempio in una biblioteca pubblica.

Se sei ricattato o molestato con informazioni non consenzienti rubate, organizzazioni come la Cyber Civil Rights Initiative e studi legali specializzati sui diritti delle vittime come C. A. Goldberg potrebbero essere in grado di aiutarti a riprendere il controllo.

Se sei un attivista o un giornalista e pensi di poter essere preso di mira da infostealer sponsorizzati dallo stato, organizzazioni come Citizen Lab potrebbero essere in grado di aiutarti o indirizzarti verso esperti locali di fiducia.

Leave a Reply