StormBamboo: attenzione agli hacker che diffondono malware sfruttando aggiornamenti software automatici

StormBamboo: attenzione agli hacker che diffondono malware sfruttando aggiornamenti software automatici

Il problema ha coinvolto sistemi Windows e macOS: gli hacker riuscivano a dirottare le richieste dei meccanismi di aggiornamento automatico di alcune applicazioni verso server da loro controllati

di pubblicata il , alle 12:41 nel canale Sicurezza
 

I ricercatori di sicurezza di Volexity hanno individuato un sofisticato attacco informatico che ha colpito di recente utenti Windows e Mac, tramite lo sfruttamento di vulnerabilità nei meccanismi di aggiornamento software di diverse applicazioni popolari.

I ricercatori hanno scoperto una tattica particolarmente ingegnosa: gli aggressori hanno compromesso l'infrastruttura di un provider di servizi Internet (ISP) per manipolare il traffico di rete e distribuire malware attraverso aggiornamenti software apparentemente legittimi.

StormBamboo, questo il gruppo hacker che ha coordinato l'attacco, ha compromesso specifici apparati di rete all'interno dell'infrastruttura dell'ISP, riuscendo ad alterare le risposte del DNS per quegli host legittimi che forniscono gli aggiornamenti software. Le applicazioni colpite includono nomi noti come 5KPlayer, Quick Heal, Rainmeter, Partition Wizard, oltre a software di Corel e Sogou, sia per sistemi Windows che macOS.

Gli aggressori sono riusciti nella loro impresa perché i meccanismi di aggiornamento di queste applicazioni sono privi di adeguate misure di sicurezza. In particolare i ricercatori hanno rilevato l'assenza di connessioni TLS o di firme crittografiche per autenticare gli aggiornamenti, lasciando aperta la possibilità di attacchi Man-in-the-Middle. Che è proprio quello che hanno fatto gli aggressori, reindirizzando le richieste di aggiornamento verso server sotto il loro controllo, aggirando quindi i server legittimi dei produttori dei software presi di mira.

I ricercatori di Volexity spiegano che questo attacco è strutturato in maniera tale da eludere anche l'uso di servizi DNS come 8.8.8.8 di Google o 1.1.1.1 di Cloudflare. L'attacco infatti non coinvolge direttamente i server DNS degli ISP, ma intercetta e modifica le risposte DNS a livello di infrastruttura di rete. In altri termini: le query DNS venivano alterate dopo aver lasciato i server DNS legittimi e solamente quando avevano raggiunto l'infrastruttura dell'ISP compromesso.

I ricercatori hanno illustrato cos'è accaduto nel caso dell'applicazione 5KPlayer. Si tratta di un'app che fa uso di una connessione HTTP non sicura per verificare e scaricare gli aggiornamenti, incluso un file di configurazione chiamato Youtube.config. StormBamboo ha sfruttato il DNS poisoning per consegnare una versione dannosa di questo file, che scaricava un payload mascherato da immagine PNG. In realtà questo PNG era un eseguibile per l'installazione di un malware noto come MACMA per dispositivi macOS o POCOSTICK per dispositivi Windows.

MACMA è una backdoor per sistemi macOS e iOS, già identificata nel 2021 dal Threat Analysis Group di Google. Si tratta di uno strumento che mette a disposizione varie funzionalità dannose, come il fingerprinting del dispositivo, l'esecuzione di screenshot dello schermo, la manipolazione di file, l'esecuzione di comandi da terminale, la registrazione audio e il keylogging.

POCOSTICK è invece un malware in circolazione almeno dal 2014, che la società di sicurezza ESET ha collegato a un gruppo di minacce di lingua cinese noto come Evasive Panda. Le scoperte di Volexity hanno finalmente chiarito le modalità di distribuzione di questo malware, confermando l'ipotesi di un attacco MitM piuttosto che un attacco diretto alla catena di fornitura del software.

Volexity non ha rivelato l'identità dell'ISP, a cui ha notificato tempestivamente quanto individuato e con cui ha collaborato per risolvere il problema. La società di sicurezza ha comunque sottolineato come i principi alla base di questo attacco potrebbero essere sfruttati anche a livello di reti locali e firewall aziendali, osservando inoltre che altri attacchi di questo tipo potrebbero già essere in corso su altri ISP.

Al di là di quelle che sono le misure in capo ai fornitori di servizi di connettività e a chi distribuisce gli aggiornamenti dei propri software, l'utente finale può fare poco per proteggersi da questa minaccia: la strada più drastica è quella di non usare software che si aggiorna in modo non sicuro (ma non è scontato che l'utente sappia o possa sapere come conoscere questi dettagli). Come alternativa è invece possibile usare protocolli di comunicazione DNS over TLS o DNS over HTTPS per evitare proprio la manipolazione di informazioni e il dirottamento delle richieste.

3 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
insane7406 Agosto 2024, 12:55 #1
1°, complimenti ai dev che nel 2024 usano ancora l'HTTP.
2°, configurare tutti i propri dispositivi (router, smartphone, tablet) per usare DOH o DOT è buona norma, indipendentemente da questa news.
Fede06 Agosto 2024, 14:41 #2
Originariamente inviato da: insane74
1°, complimenti ai dev che nel 2024 usano ancora l'HTTP.


come non quotarti!
Sandro kensan06 Agosto 2024, 23:27 #3
Ma quelli che dicevano che solo gli utonti si fanno fregare dal malware e che "loro" non sarebbero mai caduti in questa problematica? dove sono?

Poi occorre aggiungere che non è solo un problema di vedersi infettato windows o mac ma esiste il problema di conservare il proprio conto corrente soprattutto nei cellulari che sono considerati sicuri, basta non scaricare roba strana o roba fuori dal play store secondo i più esperti di questo forum.

Se conservi 10 mila o 20 mila euro nel tuo cellulare è ovvio che qualcuno trova il modo di fare un bonifico istantaneo dal tuo cellulare al suo conto corrente. Questo non ostante tu non scarichi nulla di strano e scarichi solo app ufficialii dal play store.

Mi pare che fin'ora qui si parli solo di windows e mac ma l'articolo lascia la porta aperta.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^