Sommario
Recentemente sono emerse diverse minacce informatiche che dimostrano l’evoluzione delle tecniche utilizzate dai criminali per sfruttare vulnerabilità e accedere a dati sensibili e questi attacchi spaziano dal furto di denaro dagli ATM tramite un nuovo malware su Linux, alla sottrazione di PIN degli utenti Android, fino alla compromissione di dispositivi domestici come aspirapolvere robotici utilizzati per spiare le famiglie.
Malware FASTCash: la nuova variante per Linux
Il malware FASTCash, attribuito al gruppo nordcoreano Hidden Cobra, è noto per aver permesso ai cybercriminali di effettuare prelievi non autorizzati da bancomat in tutto il mondo. Questo tipo di attacco, documentato per la prima volta nel 2018 dal CISA, ha causato perdite per decine di milioni di dollari in operazioni coordinate in più di 30 paesi. Mentre le versioni precedenti di FASTCash si concentravano su sistemi Windows e IBM AIX, una nuova variante per Linux è stata scoperta, con l’obiettivo di compromettere i payment switch server utilizzando la distribuzione Ubuntu 22.04 LTS.
Il malware agisce intercettando e manipolando i messaggi ISO8583, utilizzati nell’industria finanziaria per il trattamento delle transazioni di carte di debito e credito. La tecnica prevede la sostituzione dei messaggi di “rifiuto” delle transazioni dovuti a fondi insufficienti con una risposta di “approvazione”. In questo modo, il malware permette ai criminali di effettuare prelievi di contanti tra i 350 e gli 875 euro per ogni operazione senza che la banca rilevi anomalie.
Questa nuova variante, scoperta a giugno 2023, è stata rilevata su VirusTotal solo recentemente, il che indica che è stata in grado di eludere i principali strumenti di sicurezza per mesi. È preoccupante che, oltre alla versione per Linux, sia stata identificata anche una nuova versione per Windows a settembre 2024, suggerendo che il gruppo APT38 (Lazarus) continui a sviluppare il proprio arsenale.
TrickMo: malware Android che ruba i PIN con schermi di blocco falsi
Un’altra minaccia riguarda il malware TrickMo, un trojan bancario per Android noto per l’uso di tecniche sofisticate di phishing e il furto di credenziali. Le nuove varianti identificate includono funzionalità avanzate come l’intercettazione di OTP (one-time password), registrazione dello schermo e persino la simulazione di falsi schermi di blocco Android per rubare PIN e sequenze di sblocco. Questo trojan sfrutta i permessi del servizio di accessibilità per ottenere privilegi elevati e manipolare le interazioni dell’utente senza essere scoperto.
Quando la vittima inserisce il proprio PIN su quello che sembra un normale schermo di sblocco, il malware raccoglie questi dati e li trasmette a un server remoto, consentendo agli attaccanti di sbloccare il dispositivo in qualsiasi momento e compiere frodi sul dispositivo stesso. Secondo l’analisi della società di sicurezza Zimperium, oltre 13.000 utenti in Canada, Emirati Arabi, Turchia e Germania sono stati colpiti. L’infrastruttura C2 (command and control) utilizzata dal malware è così estesa che si stima che il numero reale delle vittime sia molto più alto.
Questo malware continua a diffondersi principalmente tramite phishing, quindi gli utenti Android sono invitati a evitare di scaricare APK da fonti non ufficiali e a mantenere Google Play Protect attivo per evitare infezioni.
Aspirapolvere robotici hackerati: violazione della privacy domestica
Le minacce informatiche non riguardano solo i dispositivi mobili o i sistemi finanziari. Recentemente, diversi modelli di aspirapolvere robotici Ecovacs Deebot X2 sono stati compromessi negli Stati Uniti, causando preoccupazioni sulla sicurezza dei dispositivi domestici connessi. Gli hacker sono riusciti a prendere il controllo dei robot, accedendo alle telecamere integrate e insultando i proprietari attraverso gli altoparlanti integrati. Questo incidente è stato segnalato per la prima volta quando un avvocato del Minnesota, Daniel Swenson, ha notato suoni insoliti provenienti dal suo aspirapolvere e ha scoperto che un estraneo stava accedendo alla videocamera in tempo reale.
Sebbene Ecovacs abbia attribuito l’attacco a un’operazione di credential stuffing, un’analisi successiva ha rivelato che la vulnerabilità era dovuta a un difetto nella verifica del codice PIN, che poteva essere aggirato con un semplice trucco sull’app del dispositivo. Questo incidente mette in luce quanto sia importante la sicurezza anche per dispositivi apparentemente innocui come gli elettrodomestici smart.
Le nuove minacce, dai malware finanziari a quelli per dispositivi domestici, dimostrano che i criminali informatici continuano a evolversi e a diversificare i loro metodi. Proteggersi richiede una costante attenzione alla sicurezza e l’adozione di pratiche di protezione robuste, non solo per i sistemi critici, ma anche per i dispositivi di uso quotidiano.
