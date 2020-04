Di Pierguido Iezzi

Non è un mistero, il lockdown che stiamo vivendo ha aumentato esponenzialmente l’utilizzo di alcune tecnologie abilitanti per il lavoro da remoto, dai software di Web Conference (Zoom ne sa qualcosa), passando per i protocolli RDP fino all’impennata nell’utilizzo delle VPN.

Basti pensare che NordVPN, uno dei più grandi provider al mondo, ha affermato che l’utilizzo dei suoi servizi è aumentato del 165% a livello globale.

Lo scenario

È forse vero che il mondo non sarà più lo stesso dopo la pandemia. Il virus che ci ha trattenuto nelle nostre case ha avuto un grave impatto sul mercato globale degli affari e ha sicuramente fatto sentire il suo eco sull’economia mondiale.

Nel frattempo, le organizzazioni hanno cercato di rimediare con misure d’emergenza da mettere in campo rapidamente, in particolare chiedendo ai loro dipendenti di lavorare online da casa. Questo cambiamento di paradigma, sfortunatamente, ha aperto un’opportunità per i Criminal hacker di intensificare le loro attività di attacco.

Perché i criminali informatici prendono di mira le VPN?

Tra le misure d’emergenza adottate dalle organizzazioni durante l’epidemia di COVID-19, come accennato, troviamo sicuramente in cima alla lista le VPN.

Adottate per proteggere le attività di navigazione da occhi indiscreti sulle connessioni Wi-Fi pubbliche/private, le VPN sono necessaria anche quando qualcuno sta cercando di accedere a siti soggetti al blocco in base alla localizzazione geografica dell’utente. In molti Paesi, i dati sull’utilizzo delle VPN sono saliti alle stelle.

In una sola settimana (9-15 marzo), l‘utilizzo delle VPN in Italia è aumentato del 112%, del 38% in Iran e del 36% in Spagna rispetto alla settimana precedente.

Nel continente nordamericano, in un mese di diffusione del Coronavirus, si è registrato un aumento del 24%, 26% e 18% in Canada, Stati Uniti d’America e Messico rispettivamente.

Facile capire che questa espansione a macchia d’olio non possa che aver attirato l’attenzione dei Criminal Hacker. Ma come hanno deciso di sfruttare questa nuova popolarità per lanciare i propri attacchi?

VPN False

Alcuni ricercatori hanno scoperto che i gruppi di Criminal hacker stanno manipolando gli utenti per far loro scaricare e installare malware mascherati da client VPN legittimo.

Come se non bastasse, alcune delle VPN disponibili sul negozio di Chrome, sul negozio di giochi per Android o in altri luoghi, sono semplicemente una truffa!

Alcuni esempi di siti esca allestiti ad Hoc dai Criminal Hacker:

Dominio: nordfreevpn[.]com

Quando un utente tenta di installare un client VPN da questo sito, finisce per installare il malware Grand Stealer. Questo malware è in grado di sottrarre varie credenziali utente, profili del browser (credenziali, cookie, carte di credito, autofill), credenziali Gecko, Screenshot, credenziali FTP, credenziali RDP, sessioni Telegram, dati del software Discord, file desktop…

Dominio: vpn4test[.]net

L’installazione di un client VPN da questo sito può invece colpire i sistemi degli utenti con l’infostealer Azorult. Il malware genera prima un bot ID per identificare in modo univoco la macchina host e poi comunicare con il suo server di Command and Control.

Azorult Raccoglie le password salvate, le credenziali di accesso al browser, i cookie, la cronologia, le sessioni di chat, gli screenshot, ecc…

Inoltre, può scaricare ulteriori malware sul sistema infetto come Masad stealer e Parasite RAT.

Abuso di false recensioni sulle VPN

Il Play Store di Google e l’App Store di Apple sono i due migliori app store che la maggior parte di noi conosce e usa ormai quasi quotidianamente. Ma i Criminal Hacker, d’altra parte, si divertono a sfruttarlo. È vero soprattutto per la piattaforma Android, che ovviamente ha il massimo numero di utenti in tutto il mondo.

I criminali informatici diffondono false recensioni di app per far scalare le classifiche ai propri prodotti maligni, in modo da ottenere il massimo dei download, ma sono anche in grado di manipolare gli algoritmi di App Store e Play Store per propagare le loro app.

Nelle ultime settimane Google ha dovuto rimuovere un’app per Android “SuperVPN” – scaricata oltre 100 milioni di volte – con una vulnerabilità critica che metteva a rischio di attacco gli utenti.

In conclusione

Una volta scaricata una VPN, essa diventa responsabile dei dati in entrata e in uscita dai device dov’è installata. Quindi, si deve stare molto attenti a cosa stanno scaricando e da dove.

Se siete alla ricerca di servizi a costo zero VPN, state bene attenti a quanto siete disposti a rischiare. Questa crisi potrebbe rendere i Criminal Hacker più aggressivi che mai, con una pletora di endpoint non sicuri che li attendono.