Come proteggere il tuo PC da malware invisibili come XWorm e NotDoor

La sicurezza informatica è diventata un problema quotidiano, eppure, molte minacce continuano a passare inosservate contro gli utenti e gli strumenti di difesa. Tra queste minacce c'è il cosiddetto "malware invisibile", un insieme di tecniche il cui obiettivo è semplice: nascondersi in bella vista e camuffare le proprie tracce per rimanere attivi il più a lungo possibile.

Lungi dall’essere fantascienza, stiamo parlando di metodi che sono già in circolazione: da rootkit che si mimetizzano nel sistema su trojan mobili in grado di impersonare schermi bancari o di spiare senza che tocchiamo nulla. E sì, ci sono anche attacchi zero-click e casi estremi nel firmware che sopravvivono alle reinstallazioni del sistema operativo.

Cosa intendiamo per “malware invisibile”?

Quando parliamo di “invisibile”, non è che il codice sia letteralmente impossibile da vedere, ma che vengono applicate tecniche di occultamento destinato a mascherare i cambiamenti e le attività del malware sul sistema infetto. Questa definizione include, ad esempio, rootkit, che manipolano il sistema per nascondere file, processi, chiavi di registro o connessioni.

In pratica, questi ceppi possono assumere il controllo delle attività di sistema e degradare le prestazioni senza destare sospetti. Anche quando un antivirus rileva un comportamento anomalo, i meccanismi di invisibilità consentono eludere o posticipare il rilevamento, ad esempio, allontanandosi temporaneamente dal file contaminato, clonandolo su un'altra unità o nascondere la dimensione dei file alterato. Tutto ciò complica l'azione del motori di rilevamento e analisi forense.

Come si infiltra e come si nasconde

Un "virus invisibile", o più in generale un malware che utilizza tecniche stealth, può presentarsi in diverse forme: allegati dannosi nelle e-mail, nei download da siti Web dubbi, nei software non verificato, app fraudolente che si spacciano per utilità o installazioni popolari tramite link sui social network e messaggistica.

Una volta dentro, la sua strategia è chiara: persistere invisibileAlcune varianti “si spostano” fuori dal file infetto quando sospettano una scansione, copiandosi in un’altra posizione e lasciando un sostituto pulito per evitare di generare avvisi. Altri nascondono metadati, dimensioni dei file e voci di sistema, rendendo la vita difficile per i motori di rilevamento e ripristino dei file dopo un'infezione.

Rootkit: definizione, rischi e usi che potrebbero essere legittimi

Nelle sue origini negli ambienti UNIX, un rootkit era un insieme di strumenti del sistema stesso (come ps, netstat o passwd) alterato da un intruso per mantenere l'accesso root senza essere rilevatoDa qui deriva il nome "root", ovvero il superutente. Oggi, in Windows e in altri sistemi, il concetto rimane lo stesso: programmi progettati per nascondere elementi (file, processi, chiavi di registro, memoria e persino connessioni) al sistema operativo o alle applicazioni di sicurezza.

L'uso della tecnologia stealth, di per sé, non è intrinsecamente dannoso. Può essere utilizzato per scopi legittimi, come monitoraggio aziendale, protezione della proprietà intellettuale o salvaguardia contro gli errori degli utenti. Il problema sorge quando queste capacità vengono applicate a coprire malware, backdoor e attività criminali, in linea con le attuali dinamiche della criminalità informatica, che mira a massimizzare i tempi di attività senza attirare l'attenzione.

Come rilevare e mitigare i rootkit

Nessuna tecnica è infallibile, quindi la strategia migliore è combinare gli approcci e strumenti. I metodi classici e avanzati includono:

• Rilevamento della firma: Scansione e confronto con cataloghi di malware noti. È efficace per varianti già catalogate, fatta eccezione per gli inediti.
• Euristico o basato sul comportamento: identifica deviazioni nell'attività normale del sistema, utile per scoprire famiglie nuove o mutate.
• Rilevamento per confronto: confronta ciò che il sistema segnala con le letture provenienti da basso livello; se ci sono incongruenze, si sospetta un occultamento.
• integrità: Controlla i file e la memoria rispetto a un stato di riferimento affidabile (linea di base) per mostrare le alterazioni.

A livello di prevenzione è opportuno implementare un buon antimalware attivo e aggiornato, usa firewall, Mantenere sistemi e applicazioni aggiornati con patch e privilegi limitati. A volte, per rilevare determinate infezioni, è consigliabile avvio da supporto esterno e scansionare “dall’esterno” il sistema compromesso, anche se anche in questo caso alcune famiglie riescono a reintegrare in altri file di sistema.

Due casi di malware invisibile: XWorm e NotDoor

Queste potrebbero essere le minacce malware invisibili più pericolose attualmente in circolazione. Per sapere come proteggersi, è meglio conoscerle bene:

Verme X

Verme X Si tratta di un malware ben noto che si è recentemente evoluto in modo allarmante utilizzando nomi di file eseguibili dall'aspetto legittimo. Ciò gli consente di mimetizzarsi come un'applicazione innocua, guadagnandosi la fiducia sia degli utenti che dei sistemi.

L'attacco inizia con un file .lnk nascosto Solitamente distribuito tramite campagne di phishing, esegue comandi PowerShell dannosi, scarica un file di testo nella directory temporanea del sistema e quindi avvia un falso file eseguibile chiamato discord.exe da un server remoto.

Una volta infiltrato nel nostro PC, XWorm può eseguire tutti i tipi di comandi remoti, dai download di file e dai reindirizzamenti URL agli attacchi DDoS.

NonPorta

Un'altra delle minacce malware invisibili più gravi attualmente è NonPortaL'obiettivo di questo sofisticato virus sviluppato dagli hacker russi sono i Utenti di Outlook, da cui rubano dati riservati. Può anche assumere il controllo completo dei sistemi compromessi. Il suo sviluppo è attribuito ad APT28, un noto gruppo russo di cyberspionaggio.

NotDoor è noto per essere un malware nascosto scritto in Visual Basic for Applications (VBA), in grado di monitorare le email in arrivo alla ricerca di parole chiave specifiche. Sfrutta le capacità del programma stesso per attivarsi. Crea quindi una directory nascosta per archiviare i file temporanei controllati dall'aggressore.

Le migliori pratiche per proteggersi (e come reagire se si è già infetti)

Una difesa efficace combina abitudini e tecnologia. Oltre al "buon senso", è necessario procedure e strumenti che riducono il rischio reale su PC e dispositivi mobili:

• Installa app solo da fonti ufficiali e controlla lo sviluppatore, le autorizzazioni e i commenti. Fai attenzione ai link nei messaggi, sui social media o su siti web sconosciuti.
• Utilizzare soluzioni di sicurezza affidabili su dispositivi mobili e PC; non solo rilevano le app dannose, ma ti avvisano anche comportamento sospetto.
• Mantieni tutto aggiornato: sistema, browser e applicazioni. Patch tagliate percorsi di sfruttamento molto popolare tra gli aggressori.
• Attiva la verifica in due passaggi nel settore bancario, postale e dei servizi critici. Non è infallibile, ma aggiunge un barriera aggiuntiva.
• Monitorare i permessi di accessibilità e le notifiche; se una semplice utility richiede il controllo completo, qualcosa non va.
• Riavvia o spegni periodicamente il tuo cellulare; una chiusura settimanale completa può eliminare impianti di memoria e rende difficile la persistenza.
• Attivare e configurare il firewalle limita l'uso di account con autorizzazioni di amministratore, a meno che non sia assolutamente necessario.

Se sospetti la presenza di un'infezione da malware invisibile (mobile lento, calore ingiustificato, strani riavvii, app che non ricordi di aver installato o comportamento anomalo): rimuovere le app sospette, avviare il cellulare in modalità provvisoria e superare una scansione completa, cambiare le password da altro dispositivo, avvisa la tua banca e valuta un ripristino delle impostazioni di fabbrica Se i segnali persistono, valuta la possibilità di avviare un PC da un supporto esterno per eseguire la scansione senza che il malware prenda il controllo.

Ricorda che il malware invisibile gioca con il nostro ritmo: alterna il rumore minimo con attacchi chirurgici. Non è una minaccia astratta, ma un catalogo di tecniche di occultamento che abilitano tutto il resto: trojan bancari, spyware, furto di identità o persistenza del firmware. Se rafforzi le tue abitudini e scegli bene i tuoi strumenti, sarai un passo avanti di ciò che non si vede.