Aggiornamenti recenti Aprile 18th, 2025 2:53 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- XorDDoS, il DDoS contro Linux evolve e continua a mietere vittime
- Migliaia di chiavi AWS usate in un attacco ransomware
- Aggiornato: Addio a CVE – il governo U.S.A. (sospende) riprende i finanziamenti per il programma
- Defender for Endpoint bloccherà gli IP sconosciuti per impedire il movimento laterale
- Slopsquatting: quando l’IA consiglia pacchetti che non esistono
Malware su USB? Sarebbe una strage…
Un esperimento sul campo dimostra come la maggior parte delle persone che trovano una chiavetta USB smarrita la collegano al computer e ne aprono il contenuto. E se ci fosse un malware?
Exploit e vulnerabilità zero-day, sofisticate tecniche di ingegneria sociale e campagne di phishing attraverso milioni di email. A quanto pare, nessuna delle tecniche di attacco dei pirati informatici sono efficaci quanto quella di seminare chiavette USB per i parcheggi.
A dimostrarlo è un piccolo esperimento sul campo fatto da Elie Bursztein, un ricercatore del team anti-abusi di Google che ne ha illustrato i risultati in una presentazione durante il Black Hat USA 2016 di Las Vegas.
Bursztein ha disseminato 297 chiavette USB per il campus dell’Università dell’Illinois per verificare la bontà della sua teoria. Alcune di queste erano etichettate con nomi come “Exams” o “Confidential”, altre prive di etichetta.
Al loro interno c’erano dei file HTML, in realtà tutti con lo stesso contenuto, nominati in maniera varia. Il codice all’interno dei file consentiva al ricercatore di sapere se il file veniva aperto e reindirizzava le “cavie” a una pagina Web in cui veniva loro chiesto di rispondere a un questionario sui motivi per cui avevano collegato al loro computer la chiavetta smarrita e aperto i file.
Il riassunto, in termini statistici, è impressionante. Ben 290 delle 297 chiavette sono state raccolte da qualcuno. Il 19% delle chiavette è stato restituito, ma in ben 135 casi (il 45%) le unità USB sono state collegate a un PC e il loro contenuto è stato aperto.
Se al posto dell’innocuo codice di verifica messo a punto da Bursztein avessero contenuto un malware, si sarebbe trattata della campagna di distribuzione più efficace della storia.
Bursztein ha tenuto traccia di tutte le chiavette “seminate” nel campus con precisione scientifica.
Le persone che hanno risposto al questionario proposto (il 21% del totale) hanno giustificato il loro comportamento sostenendo di aver aperto i file per individuare il proprietario della chiavetta (68%) o per semplice curiosità (18%).
L’idea che l’apertura dei file sia giustificata dalla volontà di identificare il proprietario, guardando ai numeri, regge piuttosto bene. Quando le chiavette erano agganciate a una chiave (per serratura) e a una targhetta che indicava il contatto del proprietario, i file sono stati aperti solo nel 29% dei casi.
Al di là di queste sottigliezze, il risultato rimane sconfortante. Nella sua presentazione, Bursztein spiega quali rischi si corrono e come un pirata informatico potrebbe utilizzare una chiave USB per violare un computer in una manciata di secondi.
Se il classico metodo di inserire un file eseguibile o un collegamento a un sito Web compromesso non aggira i controlli di un antivirus e richiede comunque un comportamento “attivo” da parte del malcapitato, esistono tecniche più sofisticate che sfruttano al massimo il vantaggio di avere una connessione fisica con la macchina.
Lo stesso Bursztein ha mostrato come sia possibile realizzare un dispositivo USB del tutto simile a un’unità di memoria che, in realtà, viene rilevato dal sistema come una tastiera.
Una delle due non è una normale chiave USB, ma un dispositivo in grado di installare un trojan.
Al uso interno sarebbe possibile memorizzare una sequenza di comandi che verrebbero poi “digitati” al momento dell’inserimento, utilizzando poi Metasploit per aprire una backdoor collegata a un server Command and Control. La creazione di un dispositivo simile con metodi artigianali (ma efficaci) costerebbe circa 40 dollari a esemplare.
Troppo? Forse. Ma in caso di successo, non c’è dubbio che il pirata di turno avrebbe ottime possibilità di ammortizzare la spesa e, probabilmente, guadagnarci anche qualcosa.
Nella slide conclusiva della sua presentazione, Bursztein tratteggia anche le caratteristiche che potrebbe avere una versione più evoluta della sua creazione, che sarebbe dotata di un sistema hardware per individuare il sistema operativo della macchina a cui è collegata e di un modulo Wi-Fi o GSM per il collegamento esterno.
Si accettano scommesse su quando arriverà la prima telefonata dell’NSA.
Condividi l'articolo
In Brasile si aprono nuove frontiere del phishing mobile
Un programma genera phishing su Twitter: 60% di successo
Articoli correlati
Altro in questa categoria
Approfondimenti
-
XorDDoS, il DDoS contro Linux evolve e continua a mietere... I ricercatori di Cisco Talos hanno pubblicato una nuova... -
Slopsquatting: quando l’IA consiglia pacchetti che... La diffusione dell’IA e il progressivo miglioramento... -
Agenti di IA: un’arma potente nelle mani del... Gli agenti di IA stanno diventando sempre più capaci, in... -
PDF pericolosi: il 22% degli attacchi proviene da questi... I file PDF possono diventare molto pericolosi: stando a una... -
L’Italia è tra gli obiettivi principali del... L’Italia è tra i principali obiettivi del cybercrime...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
XorDDoS, il DDoS contro Linux evolve e continua a mietere... I ricercatori di Cisco Talos hanno pubblicato una nuova...
-
Migliaia di chiavi AWS usate in un attacco ransomware Alcuni ricercatori di sicurezza hanno scoperto una nuova... -
Aggiornato: Addio a CVE – il governo U.S.A.... Aggiornamento: “Il programma CVE ha un valore... -
Defender for Endpoint bloccherà gli IP sconosciuti per... Microsoft sta per rilasciare una nuova funzionalità di... -
Slopsquatting: quando l’IA consiglia pacchetti che... La diffusione dell’IA e il progressivo miglioramento...
Ransomware: la serie
No posts found.
