Libero
SICUREZZA INFORMATICA

CozyBear, il virus travestito da film pirata che vi ruba i soldi

Una nuova minaccia per i computer Windows. Il virus. realizzato dal collettivo CozyBear, è travestito da film scaricabile da Torrent e provoca molti danni

Hacker Fonte foto: Shutterstock

La fantasia degli hacker sembra veramente infinita e, storicamente, uno dei metodi usati dai criminali del web per infettare i nostri computer è anche quello di nascondere i virus nei file Torrent dei film pirata, caricati sulla nota piattaforma The Pirate Bay (TPB).

Un esempio di questa pratica, scoperto di recente e poi bloccato prima che potesse provocare molti danni, dimostra la pericolosità di questi virus: in un file Torrent per scaricare il film “Millennium – Quello che non uccide” è stato trovato un codice malevolo che modifica le pagine dei risultati dei motori di ricerca Google e Yandex e tenta di mettere in pratica una truffa infettando le pagine di Wikipedia. Lo scopo è sempre lo stesso: guadagnare alle spalle degli utenti, sfruttando tattiche raffinate e di alto livello.

Questo virus e la relativa truffa sono stati architettati da CozyBear, un gruppo di hacker russi noto con diversi nomi (APT29, CozyDuke, CozyCar, Grizzly Bear). CozyBear è attivo dal 2008, ma è diventato famoso nell’agosto 2015, quando è riuscito a bucare i server di posta elettronica del Pentagono e ad avere accesso ad oltre 2.500 caselle di posta elettronica di personale civile e militare del Dipartimento della Difesa americano.

Come funziona il virus Torrent

Il funzionamento del virus, in estrema sintesi, è questo: all’interno del file video del film piratato è stato inserito un file .LNK. Questa estensione viene usata per i collegamenti rapidi di Windows, cioè delle scorciatoie a file originali, magari da posizionare sul desktop per accedere velocemente a file o cartelle situate in varie parti dell’hard disk. Ma quando l’utente faceva click su collegamento hackerato partiva l’infezione: veniva eseguito un comando di PowerShell, che a sua volta eseguiva uno script di codice malevolo. Da quel momento in poi, venivano infettate le ricerche su Google e su Yandex.

Risultati hackerati sui motori di ricerca

Per fare ciò, il malware modificava alcune chiavi del registro di Windows per disabilitare la protezione di Windows Defender. Inoltre, installava in Firefox un’estensione chiamata “Firefox Protection” e modifica l’estensione di Chrome chiamata “Chrome Media Router”. In questo modo disabilitava le protezioni del sistema operativo e dei due browser più usati. A partire da quel momento, ogni volta che l’utente apriva il browser per navigare su Internet, il malware si collegava a un database ed eseguiva varie impostazioni e un codice JavaScript in varie pagine Web.

Ad esempio, se l’utente cercava “spyware” su Google, probabilmente in cerca del miglior antivirus per proteggersi dagli spyware, invece che i siti dei software antivirus che normalmente comparirebbero in cima alla pagina di ricerca di Google i primi due risultati (hackerati) indicavano siti web che raccomandavano un antivirus chiamato TotalAV. Lo stesso succedeva con i risultati di Yandex, motore di ricerca molto usato in Russia.

False donazioni Wikipedia

Ma c’è di più: oltre a infettare le pagine dei motori di ricerca, questo virus contenuto nel film pirata infettava anche le pagine di Wikipedia mostrando in apertura un banner in cui si affermava che Wikipedia ora accetta donazioni in criptovalute (cosa assolutamente falsa). Il banner forniva anche due indirizzi di portafogli di criptovalute a cui inviare le donazioni: uno per Bitcoin, l’altro per Ethereum. Portafogli che appartenevano agli hacker, ovviamente. Un terzo indirizzo di portafoglio Bitcoin è stato trovato negli script scaricati dal malware, ma non sembra essere incluso nella truffa della donazione di Wikipedia.

Tutti e tre i portafogli fanno parte di un’altra attività dannosa, destinata a sostituire gli indirizzi Bitcoin ed Ethereum presenti nelle pagine Web. Questa tattica non mostra alcun segno che possa avvisare l’utente del trucco perché i portafogli sono una lunga stringa di caratteri casuali, e la maggior parte degli utenti non riesce a notare la differenza tra il portafoglio reale e uno hackerato. In questo modo, ogni volta che l’utente apriva una pagina contenente delle stringhe di portafogli di criptovalute legittimi, il virus sostituiva queste stringhe con quelle dei portafogli degli hacker dirottando pagamenti e donazioni verso il conto dei cybercriminali.