Cumu prutege u vostru PC da malware invisibili cum'è XWorm è NotDoor

A cibersigurtà hè diventata un prublema di ogni ghjornu, eppuru, parechje minacce cuntinueghjanu à passà inosservate contr'à l'utilizatori è l'arnesi difensivi. Trà queste minacce ci hè u cusì chjamatu "malware invisibile", un inseme di tecniche chì u so scopu hè simplice: piattassi in piena vista è camuflà e so tracce per stà attivu u più longu pussibule.

Luntanu da esse scienza fizzione, parlemu di metudi chì sò digià in circulazione: da rootkit chì si mischianu in u sistema finu à Trojani mobili capace di impersonà i schermi di banca o di spià senza chì noi tuchemu nunda. È sì, ci sò ancu attacchi senza clicchi è casi estremi in u firmware chì sopravvivenu à e reinstallazioni di u sistema operatore.

Chì vulemu dì per "malware invisibile"?

Quandu parlemu di "invisibile", ùn hè micca chì u codice hè letteralmente impussibile da vede, ma chì tecniche di dissimulazione sò applicate destinatu à mascherà i cambiamenti è l'attività di malware nantu à u sistema infettatu. Questa definizione include, per esempiu, rootkit, chì manipulanu u sistema per ammuccià i fugliali, i prucessi, e chjave di u registru o e cunnessione.

In pratica, sti ceppi ponu piglià a gestione di i travaglii di u sistema è degradanu e prestazioni senza suscità suspetti. Ancu quandu un antivirus rileva un cumpurtamentu anomalu, i meccanismi d'invisibilità permettenu evità o ritardà a rilevazione, per esempiu, alluntanendusi temporaneamente da u schedariu contaminatu, clonendulu nantu à un altru discu, o piattà a dimensione di i fugliali alteratu. Tuttu què complica l'azione di u motori di rilevazione è analisi forense.

Cumu s'infiltra è cumu si piatta

Un "virus invisibile", o, più in generale, un malware chì usa tecniche stealth, pò ghjunghje in parechje forme: allegati maliziosi in email, scaricamenti da siti web dubbiosi, software micca verificatu, applicazioni fraudulente chì si fingenu cum'è utilità o installazioni populari attraversu ligami nantu à e rete suciale è a messageria.

Una volta dentru, a so strategia hè chjara: persiste invisibileCerte varianti si "spostanu" fora di u schedariu infettatu quandu suspettanu una scansione, copiendu si in un altru locu è lascendu un sustitutu pulitu per evità di suscità alerti. Altri nascondenu metadati, dimensioni di fugliali è entrate di sistema, rendendu a vita difficiule per i motori di rilevazione è u restaurazione di fugliali dopu à una infezione.

Rootkit: definizione, risichi è usi chì ponu esse legittimi

À l'urighjini di l'ambienti UNIX, un rootkit era un inseme di strumenti di u sistema stessu (cum'è ps, netstat o passwd) alteratu da un intrusu à mantene l'accessu root senza esse rilevatuU nome "root", u superutilizatore, vene da. Oghje, in Windows è altri sistemi, u cuncettu ferma u listessu: prugrammi cuncepiti per ammuccià elementi (schedarii, prucessi, chjave di registru, memoria è ancu cunnessione) à u sistema operativu o à l'applicazioni di sicurezza.

L'usu di a tecnulugia stealth, in sè stessu, ùn hè micca intrinsecamente maliziosu. Pò esse adupratu per scopi legittimi cum'è monitoraghju corporativu, prutezzione di a pruprietà intellettuale, o prutezzione contr'à l'errore di l'utente. U prublema nasce quandu ste capacità sò applicate à copre malware, backdoor è attività criminali, allineendu si cù a dinamica attuale di a cibercriminalità, chì cerca di massimizà u tempu di funziunamentu senza attirà l'attenzione.

Cumu rilevà è mitigà i rootkit

Nisuna tecnica hè infallibile, dunque a megliu strategia hè cumbinà l'approcci è strumenti. I metudi classici è avanzati includenu:

• Rilevazione di firmaScansione è paragone cù i cataloghi di malware cunnisciuti. Hè efficace per varianti digià catalogate, eccettu per quelli inediti.
• Euristicu o basatu annantu à u cumpurtamentu: identifica deviazioni in l'attività nurmale di u sistema, utile per scopre famiglie nove o mutate.
• Rilevazione per paragone: cuntrasta ciò chì u sistema riporta cù e letture di livellu bassu; s'ellu ci sò incongruenze, si suspetta di dissimulazione.
• Integrità: Verifica i fugliali è a memoria contr'à un statu di riferimentu affidabile (linea di basa) per mustrà alterazioni.

À u livellu di prevenzione, hè cunsigliatu di mette in opera un bon antimalware attivu è aghjurnatu, aduprà firewall, tene sistemi è applicazioni aggiornati cù patch, è limità i privilegi. Calchì volta, per rilevà certe infezioni, hè cunsigliatu avviu da supporti esterni è scansà "da fora" di u sistema cumprumessu, ancu s'è ancu tandu alcune famiglie riescenu à reintegrà in altri fugliali di sistema.

Dui casi di malware invisibile: XWorm è NotDoor

Quessi puderanu esse i più periculosi malware invisibili chì ci sò avà. Per sapè cumu prutegge si da elli, hè megliu capisceli bè:

XWorm

XWorm Hè un vechju malware cunnisciutu chì hà evolutu in modu allarmante in l'ultimi tempi aduprendu nomi di fugliali eseguibili chì parenu legittimi. Questu li permette di camuffassi cum'è una applicazione innocua, guadagnendu a fiducia di l'utilizatori è di i sistemi.

L'attaccu principia cù un schedariu .lnk piattu Tipicamente distribuitu per mezu di campagne di phishing, esegue cumandamenti PowerShell maliziosi, scarica un schedariu di testu in u cartulare tempuraneu di u sistema, è infine lancia un eseguibile falsu chjamatu discord.exe da un servitore remoto.

Una volta infiltratu in u nostru PC, XWorm pò eseguisce tutti i tipi di cumandamenti remoti, da i scaricamenti di fugliali è i reindirizzamenti URL à l'attacchi DDoS.

NotDoor

Un'altra di e minacce di malware invisibili più serii attualmente hè NotDoorL'ubbiettivu di stu virus sofisticatu sviluppatu da i pirati informàtichi russi sò i Utilizatori di Outlook, da quale arrubanu dati cunfidenziali. Pò ancu piglià u cuntrollu cumpletu di i sistemi cumprumessi. U so sviluppu hè attribuitu à APT28, un gruppu di ciberspionaggio russu ben cunnisciutu.

NotDoor hè cunnisciutu per esse un malware piattu scrittu in Visual Basic for Applications (VBA), capace di monitorà l'email entranti per parole chjave specifiche. In realtà sfrutta e capacità di u prugramma per attivassi. Dopu crea un cartulare oculatu per almacenà i fugliali tempuranei cuntrullati da l'attaccante.

E migliori pratiche per prutege si (è cumu reagisce sè site digià infettatu)

Una difesa efficace combina abitudini è tecnulugia. Oltre à u "sensu cumunu", avete bisognu prucedure è strumenti chì riducenu u risicu reale nantu à PC è mobile:

• Installate l'applicazioni solu da fonti ufficiali è verificate u sviluppatore, i permessi è i cummenti. Attenti à i ligami in i missaghji, nantu à i social media, o nantu à i siti web scunnisciuti.
• Aduprate suluzioni di sicurezza affidabili nant'à u telefuninu è l'urdinatore; ùn solu rilevenu l'applicazioni maliziose, ma vi avvisanu ancu cumpurtamentu suspettu.
• Mantene tuttu aggiornatu: sistema, navigatore è applicazioni. Patch tagliati vie di sfruttamentu assai pupulare trà l'attaccanti.
• Attivà a verificazione in dui passi in banca, posta è servizii critichi. Ùn hè micca infallibile, ma aghjusta un barriera supplementaria.
• Monitorà i permessi d'accessibilità è e notificazioni; s'è una utilità simplice dumanda u cuntrollu cumpletu, Qualcosa ùn va micca.
• Riavviate o spegnete u vostru telefuninu periodicamente; una chjusura settimanale cumpleta pò eliminà impianti di memoria è rende difficiule a persistenza.
• Attivà è cunfigurà u firewall, è limita l'usu di i conti cù permessi d'amministratore, salvu chì ùn sia assolutamente necessariu.

Sè suspettate a prisenza di una infezione da malware invisibile (mobile lentu, calore ingiustificatu, riavvii strani, applicazioni chì ùn vi ricordate micca d'installà o cumpurtamentu anormale): caccià l'applicazioni suspettose, avviate u mobile in modu sicuru è passate una scansione cumpleta, cambiate e password da un altru dispusitivu, avvisate a vostra banca è valutate un reset di fabbrica Sè i segni persistenu, cunsiderate l'avviu da un supportu esternu nantu à un PC per scansà senza chì u malware pigli u cuntrollu.

Ricurdatevi chì u malware invisibile ghjoca cù u nostru ritmu: alternate u rumore minimu cù colpi chirurgichi. Ùn hè micca una minaccia astratta, ma un catalogu di tecniche di dissimulazione chì permettenu tuttu u restu: troiani bancari, spyware, furtu d'identità, o persistenza di firmware. Sè rinforzate e vostre abitudini è sceglite bè i vostri strumenti, sarete un passu avanti di ciò chì ùn si vede.