I ricercatori della società di codifica sicura Checkmarx hanno avvertito del malware a tema pornografico che ha attaccato gli utenti di Internet. Sfortunatamente, gli effetti collaterali di questo malware, soprannominato Unfilter o Space Unfilter , comportano il saccheggio di dati dal computer della vittima, comprese le password di Discord, esponendo così indirettamente i contatti della vittima – come colleghi, amici e familiari – a spam e truffe da parte dei criminali informatici.
I criminali informatici adorano le password dei social network e della messaggistica istantanea perché è molto più facile attirare nuove vittime tramite un gruppo chiuso piuttosto che truffare le persone utilizzando messaggi non richiesti su canali “aperti a tutti” come e-mail o SMS:
Intermezzo promozionale ... continua la lettura dopo il box:
Usufruisci di uno sconto per fare un CONTROLLO DELLA REPUTAZIONE PERSONALE o AZIENDALE [ click qui ]
Il disoccultamento dell’invisibilitÃ
La truffa in questo caso afferma di offrire un software in grado di invertire gli effetti del filtro invisibile di TikTok , che è un effetto visivo che funziona un po’ come lo schermo verde o il filtro di sfondo che tutti sembrano usare in questi giorni nelle chiamate Zoom…
…tranne che la parte dell’immagine che è sfocata o resa semitrasparente o traslucida sei tu stesso , piuttosto che lo sfondo.
Se ti metti un lenzuolo sopra la testa, ad esempio, come un fantasma archetipico dei fumetti, e poi ti muovi come un fantasma dei fumetti (effetti sonori opzionali), il contorno del “fantasma” sarà distinguibile, ma il lo sfondo sarà tipicamente ancora vagamente, anche se sfocato, visibile attraverso il contorno del fantasma, creando un effetto divertente e intrigante.
Sfortunatamente, l’idea di essere pseudo-invisibili ha portato alla cosiddetta “sfida dell’invisibilità di TikTok”, in cui gli utenti di TikTok hanno il coraggio di filmarsi dal vivo in varie fasi della svestizione, confidando che il filtro Invisibile funzioni abbastanza bene.
Non farlo. Dovrebbe essere ovvio che c’è ben poco da guadagnare se funziona, ma molto da perdere (e non solo la tua dignità ) se qualcosa va storto.
Come probabilmente puoi immaginare, ciò ha portato a post online squallidi che affermano di offrire software in grado di invertire gli effetti del filtro Invisible dopo che un video è stato pubblicato, trasformando così un video dall’aspetto innocente in clip porno NSFW.
Questo sembra essere esattamente il percorso intrapreso dai criminali informatici nell’attacco delineato da Checkmarkx, in cui i truffatori:
Intermezzo promozionale ... continua la lettura dopo il box:
- Hanno promosso il loro presunto strumento “Unfilter” su TikTok. Gli utenti che volevano l’app sono stati attirati su un server Discord per ottenerla.
- Hanno attirato utenti nel loro gruppo Discord. L’esca presumibilmente includeva la promessa di video già “non filtrati” per “provare” che il software funzionava.
- Hanno indotto gli utenti a votare positivamente il progetto GitHub che ospitava il codice “unfilter”. Ciò ha reso il software più affidabile e affidabile di quanto farebbe normalmente un progetto GitHub nuovo e sconosciuto.
- Hanno convinto gli utenti a scaricare e installare il progetto GitHub. Il file README del progetto (la documentazione ufficiale che appare quando si accede alla sua pagina GitHub) apparentemente includeva anche un collegamento a un video di YouTube per spiegare il processo di installazione.
- Hanno installato una serie di pacchetti Python correlati che hanno scaricato e lanciato il malware finale. Secondo Checkmarx, il malware è stato sepolto in pacchetti dall’aspetto legittimo che sono stati elencati come le cosiddette dipendenze della catena di approvvigionamento necessarie ai presunti strumenti di “non filtraggio”. Ma le versioni fornite dall’attaccante di quelle dipendenze erano state modificate con una singola riga aggiuntiva di codice Python offuscato per recuperare il malware finale.
Il payload finale del malware, ovviamente, potrebbe quindi essere modificato a piacimento dai truffatori semplicemente cambiando ciò che viene servito quando viene installato il progetto fasullo “unfilter”
Dati che rubano malware
Come accennato in precedenza, il malware visto da Checkmarx sembra essere una variante di un “toolkit” per il furto di dati noto in vari modi come WASP o W4SP che viene diffuso tramite progetti GitHub avvelenati e che i criminali informatici in erba possono acquistare per un minimo di $ 20.
Spesso, gli attacchi alla supply chain basati su GitHub si basano su pacchetti dannosi con nomi che possono essere facilmente confusi con pacchetti noti e legittimi che gli sviluppatori potrebbero scaricare per errore, e lo scopo dell’attacco è quindi quello di avvelenare uno o più computer di sviluppo all’interno di un’azienda , forse nella speranza di sovvertire il processo di sviluppo di quell’azienda.
In questo modo, i truffatori sperano di ritrovarsi con malware (forse un ceppo di malware completamente diverso) incorporato nelle versioni ufficiali di software creato da un’azienda legittima, non solo convincendo qualcun altro a impacchettare il loro malware, ma in genere anche ad aggiungere una firma digitale ad esso, e forse anche per inviarlo automaticamente nel prossimo aggiornamento software dell’azienda.
Ciò si traduce in un classico attacco alla catena di approvvigionamento , in cui estrai innocentemente e intenzionalmente il malware da qualcuno di cui ti fidi già , invece di dover essere ingannato o indotto a scaricarlo da qualcuno o da qualche parte di cui non hai mai sentito parlare prima.
In questo attacco, tuttavia, i criminali sembravano prendere di mira chiunque avesse installato il falso codice “unfilter”, dato che un video “come installare pacchetti da GitHub” non sarebbe stato necessario per gli sviluppatori.
Gli sviluppatori avrebbero già familiarità con l’utilizzo di GitHub e l’installazione del codice Python, e potrebbero persino avere i loro sospetti aumentati da un pacchetto che ha fatto di tutto per affermare qualcosa che avrebbero considerato ovvio.
Il malware scatenato in questo caso sembra avere lo scopo di attaccare ogni vittima individualmente, cercando direttamente dati preziosi tra cui password Discord, portafogli di criptovaluta, dati di carte di pagamento memorizzate e altro ancora.
Cosa fare?
- Non scaricare e installare software solo perché qualcuno ti ha detto di farlo. In questo caso, i criminali dietro gli account GitHub (ora chiusi) che hanno creato i pacchetti falsi hanno utilizzato i social media e falsi voti positivi per creare un ronzio artificiale attorno ai loro pacchetti dannosi. Fai i tuoi compiti; non fidarti ciecamente della parola di altre persone che non conosci, che non hai mai incontrato e che non incontrerai mai.
- Non lasciarti mai convincere a regalare Mi piace o voti in anticipo. Nessuno che abbia installato questo pacchetto malware lo avrebbe mai votato a favore in seguito, dato che l’intera faccenda si è rivelata un mucchio di bugie. Dando la tua approvazione implicita a un progetto GitHub senza sapere nulla al riguardo, stai mettendo a rischio gli altri consentendo a pacchetti dannosi di acquisire quella che sembra l’approvazione della comunità , un risultato che i truffatori non potrebbero facilmente ottenere da soli.
- Ricorda che il software anche se legittimo può essere intrappolato tramite il suo programma di installazione. Ciò significa che il software che pensi di installare potrebbe finire per essere presente e apparentemente corretto alla fine del processo. Questo potrebbe cullarti in un falso senso di sicurezza, con il malware impiantato come effetto collaterale segreto del processo di installazione stesso piuttosto che apparire nel software che è stato effettivamente installato. (Ciò significa anche che il malware verrà lasciato indietro anche se si disinstallano completamente i componenti legittimi, che fungono quindi da una sorta di storia di copertura per l’attacco.)
- Un’ingiustizia fatta ad una persona è un’ingiustizia fatta a tutti. Non aspettarti molta compassione se i tuoi dati vengono rubati perché stavi cercando un’app dal suono squallido che speravi potesse trasformare video innocui in clip porno involontarie. Ma non aspettarti alcuna simpatia se la tua incoscienza porta anche i tuoi colleghi, amici e familiari a essere colpiti da spammer e truffatori presi di mira da criminali che sono entrati nelle tue password di messaggistica o social network in questo modo.
Fonte : https://nakedsecurity.sophos.com/
