Attacchi Driven-by-download: la Minaccia è Ovunque

Una delle leggende metropolitane più diffuse e dure a morire che si aggira da anni tra gli utenti Internet, è che i virus (malware, trojan, worm…) si possono prendere solo nei siti poco raccomandabili (warez, serials, porno…).

Non è così. La minaccia può trovarsi anche in siti del tutto normali (siti commerciali, agenzie di vaggi, portali di informazione, siti istituzionali…). Anzi, navigando su un sito percepito come “sicuro”, può indurre l’utente ad abbassare la guardia, utente che forte di questo (falso) senso di sicurezza, tende a ignorare il pericolo.

Driven-by-download ed Exploit-kit

L’attacco drive-by-download è un attacco che “forza” il browser a scaricare ed eseguire sul proprio computer un malware. I pirati tendono l’agguato agli utenti nascondendosi in siti normali. L’attacco risulta trasparente per l’utente, che in genere non si accorge di nulla.

Vediamo come funziona un attacco drive-by-download:

  • I pirati entrano in un sito normale, per esempio un sito di informazione e nascondono all’interno delle pagine lecite uno script che dirotta (in modo trasperente per l’utente) il browser dell’ignara vittima verso la landing page di un exploit-kit.Un exploit-kit è uno strumento, disponibile sul mercato nero, che gestisce tutti gli aspetti dell’attacco. Uno degli exploit-kit più diffusi e celebri al momento è BlackHole.
  • Una volta che il browser è stato “dirottato” sulla pagina dell’exploit-kit, viene “analizzato”: l’exploit-kit effettua un fingerprint del browser (tipo,versione,piattaforma), tenta di rilevare la presenza e la versione di Flash e Java; una volta ottenuta una “fotografia” del tipo client, in base ai risultati ottenuti da questa analisi, l’exploit-kit tenta un attacco idoneo per il tipo di browser identificato. Per essere più chiari: se l’exploit-kit troverà una versione vulnerabile di Java, lancerà un attacco mirato ed appropriato contro quella specifica versione di Java. Obiettivo: costringerlo a scaricare (download, ovvero drive-by-download) un payload, ovvero il modulo che farà il lavoro sporco.

Dopo l’Attacco

Un attacco riuscito lascia le porte del computer spalancate agli hacker, che a questo punto possono decidere di fare qualsiasi cosa. Il cosa fare dipende dal tipo di payload che i pirati hanno deciso di utilizzare.

Il payload può essere di diversi tipi:

  1. Un trojan in grado di rubare i dati relativi a conti bancari o carte di creditocome Zeus
  2. Un ransomware in grado di cifrare i file presenti sul computer e chiedere un riscatto
  3. Un rootkit per rendere invisibile le attività dei pirati

Molto probabilmente il computer attaccato in questo modo diventerà suo malgrado membro di una botnet, ovvero una rete di computer controllata da uno o più mastermind autori dell’attacco.

Minaccia Fantasma

Tutto questo processo nella maggior parte dei casi resterà del tutto invisibile all’utente: l’exploit-kit adotta tecniche di offuscamento del codice ed evasione degli Antivirus. In alcuni casi gli attacchi utilizzati saranno zero-day, cosa che rende difficile l’identificazione anche ad AV aggiornati

Insomma, gli attacchi possono arrivare da qualsiasi punto di Internet, anche dai siti più normali e seri del mondo.  Si pensi, per esempio, all’attacco sferrato verso la fine dell’anno scorso, tramite il sito del Council on Foreign Relations, prestigioso centro studi statunitense.

La prossima volta che ti accuseranno di prendere i virus su siti poco raccomandabili, saprai come rispondere.