Rogueware, guida completa alla scoperta della minaccia

1. Rogueware, di che cosa si tratta
2. Storia del rogueware
3. Installazione rogueware
4. Come funziona questa minaccia
5. Rogueware e Scareware a confronto
6. Consigli contro i rogueware

Rogueware: di che cosa si tratta

I Rogueware, anche detti, falsi AV, sono dei malware che cercano di assomigliare il più possibile ad un vero antivirus spesso copiando la grafica di qualche software rinomato. Per colpire l’attenzione delle proprie vittime sfruttano delle tecniche di ingegneria sociale per convincere le loro vittime ad eseguire il download gratuito del software e successivamente individuano un modo per spingerle a pagare per un qualche servizio fittizio.
Nel frattempo indipendentemente dal fatto che il malcapitato scelga di pagare o meno, rubano dati personali e modificano alcune impostazioni del dispositivo in modo da favorire la comparsa di altri malware. Spesso un rougeware è solo una breccia che gli hacker cercano di ricavare per preparare il terreno in vista di un attacco ben peggiore.

Non di rado questi malware includono una componente trojan horse nascosta in un’estensione browser, un’immagine un file, un’allegato e-mail, un software condiviso o dietro ad un servizio di scansione antimalware gratuita online.

Storia della nascita del rogueware

Il primo caso noto di finto antivirus risale alla fine del 2003, e riguarda il malware Spy Wiper. Questo rogueware era particolarmente dannoso: poteva infatti modificare alcune impostazioni del browser della vittima, causando una vera e propria pioggia di annunci pubblicitari e pop-up indesiderati. Tra le sue funzioni c’era quella di monitorare l’uso del dispositivo colpito. Non è chiaro però se questa strategia fosse già in uso precedentemente o se sia stato proprio Spy Wiper il padre di tutti gli antivirus farlocchi.

Modalità di installazione

Come in molti altri casi, i malviventi riescono a persuadere le loro vittime a scaricare il loro prodotto utilizzando delle tecniche di ingegneria sociale.
Le strategie più diffuse per diffondere questa minaccia comprendono BHSEO, malvertising e spam.

Black Hat SEO

Nel primo caso, le pagine che permettono il download di falsi antivirus, vengono sponsorizzate sfruttando il modo in cui i motori di ricerca organizzano l’ordine delle pagine dei risultati. I siti fasulli vengono infarciti di parole chiave usate frequentemente dagli utenti in modo da apparire tra i primi risultati di ricerca, in questo modo guadagnano molte più visite e mettono a repentaglio la sicurezza di molti più utenti.

Malvertising

Nel secondo caso alcuni siti legittimi vengono utilizzati come veicoli di altre infezioni. I criminali fanno in modo di reindirizzare ogni clic fatto sulle pubblicità di terze parti verso la pagina da cui è possibile scaricare il Rogueware.

Spam

Il malware puó anche essere allegato ad una e-mail o incluso in un messaggio attraverso un collegamento che avvia il download se cliccato. Ovviamente le e-mail saranno calibrate in modo da sembrare messaggi che normalmente potremmo ricevere. Ad esempio informazioni relative ad un pacco ordinato.

Download drive-by

Un ulteriore metodo consiste nello sfruttare le vulnerabilità di un browser o di altri programmi utilizzati di frequente come i visualizzatori PDF per diffondere l’infezione sui computer degli utenti.

Cold-Calling

Un ultimo ritrovato è il cold-calling. Ovvero il “potenziale cliente” viene contattato tramite Skype o servizi analoghi da un fantomatico addetto al supporto di una grande azienda nel settore informatico. Durante la chiamata il venditore cerca di convincere l’interlocutore ad installare il finto antivirus.

Come funziona questa minaccia

Andiamo a ripercorrere passo passo tutta la dinamica di un attacco di questo tipo:

Confondere l’utente

Innanzitutto occorre che l’hacker crei una pagina che promuova questo antivirus e ne permetta il download.
E’ fondamentale che la pagina sia il più possibile simile ad una legittima per indurre gli utenti in errore. Successivamente deve anche badare a pubblicizzare il falso antivirus con dei reindirizzamenti da altre pubblicità, annunci pop-up, e-mail di spam o altri stratagemmi che abbiamo descritto sopra.

Estorcere denaro

Una volta ottenuto un posto all’interno della memoria del vostro dispositivo il Rogueware continua a fingere di essere una vero antivirus. Esegue una scansione fittizia (in realtà fa solo girare brevemente una animazione che ricorda quelle dei veri software di difesa) alla fine della quale fa apparire una schermata che vi avvisa che è riuscito a trovare una grande quantità di virus e file infetti. Per rendere più convincente la sua bugia fornisce informazioni dettagliate sui malware che avrebbe individuato. Se intendete rimuoverli però, dovrete accedere alla versione completa del prodotto che è, ovviamente a pagamento.

Estorcere dati sensibili

Se accettate di acquistare la versione completa venite reindirizzati ad una pagina che vi chiede i dati necessari alla registrazione e al pagamento, ad esempio nome, cognome, numero di carta. Nella migliore delle ipotesi perderete il denaro che volevate investire nella sicurezza del vostro dispositivo. Nella peggiore, gli hacker ruberanno le credenziali e le utilizzeranno per fare acquisti a vostro nome.

Anche nel caso in cui decidiate che non volete procedere al pagamento, probabilmente gli hacker non si lasceranno sfuggire l’occasione di rubare dati sensibili in altro modo, o installare altri tipi di malware, ad esempio spyware.

Consigli per difendersi al meglio

Per difendersi efficacemente dai rogueware, è cruciale implementare una strategia di sicurezza informatica robusta e multilivello.

Innanzitutto, assicurati di utilizzare una soluzione di sicurezza affidabile, come un software antivirus con riconoscimento euristico e sandboxing, per identificare e bloccare proattivamente i tentativi di infiltrazione dei rogueware. Aggiorna regolarmente il tuo sistema operativo e le applicazioni per correggere eventuali vulnerabilità sfruttabili dai cybercriminali per introdurre rogueware o altri malware. Presta attenzione all’origine dei software e dei messaggi di avviso, verificando la legittimità delle applicazioni attraverso certificati digitali e firme dei produttori. Evita di scaricare software da siti web non ufficiali o di dubbia provenienza e non fare clic su link o allegati sospetti ricevuti tramite email o messaggi.

Impara a riconoscere i segnali tipici dei rogueware, come richieste di pagamento urgenti e avvisi esagerati di infezioni, e diffida delle soluzioni rapide offerte da fonti sconosciute. Infine, considera l’adozione di strumenti e tecnologie avanzate, come l’autenticazione a più fattori, la crittografia dei dati e il backup regolare, per aggiungere ulteriori livelli di protezione e resilienza contro questa minaccia in continua evoluzione.

Conseguenze dovute all’infezione

Se il finto scanner si è installato correttamente sul vostro dispositivo, potrà:

• Inviare messaggi di presunta infezione per convincervi a pagare una certa somma
• Disabilitare le funzioni che permettono la rimozione del malware
• Bloccare l’accesso ad alcuni siti internet
• Modificare le impostazioni di sistema e i registri.

Rogueware e Scareware a confronto

Le differenze tecniche tra rogueware e scareware risiedono principalmente nelle loro modalità operative e obiettivi.
Il rogueware è un software malevolo che si finge un’applicazione legittima di sicurezza informatica, come un programma antivirus o anti-malware, ingannando gli utenti nel credere di essere protetti. Può infiltrarsi nei sistemi attraverso tecniche di ingegneria sociale o sfruttamento di vulnerabilità, portando gli utenti a installare e acquistare software fasullo. Una volta installato, il rogueware può causare ulteriori problemi, come compromettere la sicurezza del sistema, raccogliere informazioni personali o installare altri malware.

D’altro canto, il scareware è un tipo di software ingannevole che mira a diffondere paura e panico tra gli utenti attraverso falsi avvisi di infezione o problemi di sicurezza. Il suo obiettivo principale è indurre gli utenti a intraprendere azioni che potrebbero compromettere la sicurezza del sistema, come scaricare software dannoso, rivelare informazioni personali o acquistare servizi inutili. Il scareware si basa principalmente su tattiche di ingegneria sociale e può essere veicolato attraverso siti web infetti, messaggi di posta elettronica o pop-up ingannevoli.

Conclusioni

In conclusione, il rogueware rappresenta una minaccia significativa per le aziende di ogni dimensione, sfruttando l’ingenuità degli utenti e le debolezze dei sistemi per infiltrarsi e causare danni. Proteggere le infrastrutture aziendali e le informazioni sensibili da queste insidie è fondamentale per garantire la continuità operativa e mantenere la fiducia dei clienti e dei partner. Affidarsi a esperti del settore e a aziende specializzate nella sicurezza informatica è il modo più efficace per combattere il rogueware e altre minacce informatiche emergenti.

Questi professionisti sono dotati delle competenze, delle conoscenze e delle risorse necessarie per monitorare costantemente l’evoluzione del panorama delle minacce, identificare e neutralizzare i rischi e fornire soluzioni di sicurezza personalizzate che si adattano alle esigenze specifiche di ogni azienda. Investendo nella collaborazione con aziende di sicurezza informatica di fiducia, le organizzazioni possono concentrarsi sulle loro attività principali, sapendo che la protezione dei loro sistemi e dei loro dati è in mani esperte.