Attenzione al malware dell'acqua santa che carpisce i dati personali degli utenti di siti web religiosi
Si chiama "Watering Hole", ed è una nuova strategia di attacco informatico mirato che ha l'obiettivo di compromettere i siti web religiosi. Una volta introdotto il malware all’interno del sito web preso di mira, i criminali aspettano che venga installato su computer e dispostitivi elettronici delle ignare vittime.Basta che un utente visiti un sito web compromesso per essere esposto al malware, una tattica che rende l’attacco tanto semplice da diffondere quanto molto pericoloso per frodi e furto di dati personali.
A fare la scoperta, sono stati i ricercatori di Kaspersky che hanno denominato il malware “Holy Water”, ovvero "Acqua Santa". Il bersaglio di questa nuova minaccia sono soprattutto siti web di personaggi famosi, enti pubblici, associazioni di beneficenza e altre organizzazioni religiose.
Questo attacco water-hole che agisce in più fasi è dotato di un set di strumenti non sofisticati ma creativi, e ciò che lo contraddistingue è sia la rapida evoluzione dal momento in cui viene introdotto in un sito, sia la vasta gamma di strumenti utilizzati dai cybercriminali per carpire dati personali agli utenti.
Visitando un sito web in cui è stato inserito un water hole, una risorsa precedentemente compromessa caricherà un JavaScript dannoso “offuscato” che ha l’obiettivo di raccogliere informazioni personali sul visitatore, e a quel punto un server esterno individua le potenziali vittime, avviando nei confronti degli utenti presi di mira una seconda fase in cui viene mostrato un finto pop-up di aggiornamento di Adobe Flash per distrarre la vittima e farle credere che questo sia necessario per visualizzare corretamente il contenuto del sito, permettendo nel frattempo al malware di agire indistrubato e installare a sua volta un plugin che attiverà un attacco di download.
L'obiettivo del "malware dell'acqua santa", è quello di fare eseguire all’utente un aggiornamento attraverso il quale scaricherà il pacchetto di installazione dannoso. In questo modo, il gioco è fatto e viene creata una backdoor denominata "Godlike12" che fornisce all’hacker il pieno accesso da remoto al dispositivo infetto, che permetterà al malintezionato di modificare i file, raccogliere dati sensibili dal computer, registrare l'attività svolta sul dispositivo, e anche frugare trai documenti dell'utente.
Durante l'attacco viene impiegata un’ulteriore backdoor modificata, che oltre a presentare le classiche funzionalità di una backdoor, stabilisce una connessione diretta al socket per lo scambio di dati criptati AES con il server remoto. Il finto pop-up di Adobe Flash è collegato ad un file eseguibile su github.com, che si presenta come un file di aggiornamento di Flash. Dopo la segnalazione di Kaspersky, avvenuta lo scorso 14 febbraio 2020, GitHub è corsa ai ripari disattivando questo repository e interrompendo così la catena di infezione della campagna.
Tuttavia, il repository è online da oltre 9 mesi e, grazie alla cronologia di GitHub, i ricercatori sono stati in grado di acquisire una panoramica completa dell'attività e degli strumenti utilizzati dagli hacker. Questa campagna perpetrata attraverso il water hole si distingue per la strategia che utilizza attacchi mirati a gruppi specifici di persone interessate a siti web di carattere religioso, costituendo quindi un'insidia di particolare attenzione nel periodo delle festività di Pasqua con le persone che, costrette a casa a motivo dell'emergenza del Coronavirus, passano molto più tempo del consueto su Internet.
Questa minaccia dimostra ancora una volta come la privacy online necessiti di essere protetta in modo adeguato per evitare rischi che in questo caso sono particolarmente rilevanti se si considerano le vulnerabilità degli utenti interessati ai diversi gruppi sociali e alle comunità religiose minori.
