Antivirus aggirati da un trucco che inocula malware e ransomware

antivirus-aggirati-da-trucco-malware-e-ransomware
Condividi:

Ricercatori hanno rilevato importanti vulnerabilità di sicurezza in popolari antivirus, che potrebbero essere sfruttate per disattivare i sistemi di difesa, assumendo il controllo delle applicazioni ed eseguendo attività malevole attraverso malware, sconfiggendo così le difese anti-ransomware.

La caratteristica principale di questo attacco

Questi attacchi, in particolare, mirano a eludere la funzione “cartella protetta” offerta dai programmi antivirus per crittografare i file (nota anche come “Cut-and-Mouse”).

Le cartelle protette consentono agli utenti di specificare le cartelle che richiedono un ulteriore livello di protezione contro il software distruttivo, bloccando potenzialmente qualsiasi accesso non sicuro alle cartelle protette.

L’altro tipo di attacco reso possibile da questa vulnerabilità è la disattivazione della protezione antivirus in tempo reale (noto come “Ghost Control”).

Cosa dicono i ricercatori

I fornitori di software antivirus offrono sempre alti livelli di sicurezza e sono un elemento essenziale nella lotta quotidiana contro i criminali“, ha affermato il Prof. Gabriele Lenzini, a capo del Centro interdisciplinare per la sicurezza, l’affidabilità e la fiducia dell’Università del Lussemburgo. “Ma sono in competizione con i criminali che ora hanno sempre più risorse, potere e dedizione“.

In altre parole, le vulnerabilità del software anti-malware non solo consentirebbero a codice non autorizzato di disattivare le funzionalità di protezione, ma ulteriori debolezze negli antivirus potrebbero essere sfruttate, ad esempio, da ransomware per modificare il contenuto dei file utilizzando un’app che consente la scrittura e la crittografia dei dati dell’utente o veicolando un wipeware (un malware che distruggere irreversibilmente i file delle vittime).

Una fiducia mal riposta nelle app “trusted”

Un piccolo numero di software è nella whitelist degli antivirus, che determina privilegi per scrivere in cartelle protette“, hanno detto i ricercatori. “Tuttavia, le stesse applicazioni autorizzate non sono protette dall’uso improprio da parte di altri software (ndr, malware, in questo caso). Questa fiducia è quindi ingiustificata, dal momento che un malware può eseguire operazioni su cartelle protette utilizzando le applicazioni autorizzate come intermediari“.

Esempio 1: attacco via Blocco Note

Uno scenario di attacco testato dai ricercatori ha rivelato che il codice dannoso potrebbe essere utilizzato per controllare un’applicazione affidabile come il notissimo programma Windows “Blocco Note” per eseguire operazioni di scrittura e crittografare i file della vittima archiviati nelle cartelle protette.

A tal fine, il ransomware legge i file nelle cartelle, li crittografa in memoria e li copia negli appunti di sistema, dopodiché il ransomware avvia Blocco note per sovrascrivere il contenuto della cartella con i dati degli appunti.

Esempio 2: attacco con Paint

Sfruttando Paint come applicazione affidabile, i ricercatori hanno scoperto che la suddetta sequenza di attacco potrebbe essere utilizzata per sovrascrivere i file dell’utente con un’immagine generata casualmente per distruggerli in modo permanente.

Quanti antivirus superano il test?

Delle 29 soluzioni antivirus valutate durante lo studio, 14 sono state ritenute vulnerabili all’attacco “Ghost Control” (disattivazione della protezione in tempo reale), mentre tutti i 29 programmi antivirus testati sono risultati a rischio per l’attacco “Cut-and-Mouse” (scrittura e crittografia di cartelle protette dall’antivirus).

I ricercatori non hanno rivelato i nomi dei fornitori interessati dal test.

Cosa ci dice questo test

I risultati ricordano che le soluzioni di sicurezza esplicitamente progettate per salvaguardare le risorse digitali dagli attacchi di malware possono a loro volta soffrire di vulnerabilità, vanificando così il loro stesso scopo.

Anche se i fornitori di software antivirus continuano a rafforzare le difese, gli autori di malware sono riusciti a superare tali barriere attraverso tattiche di evasione e offuscamento.

E infatti, la nuova frontiera (ormai non più così “nuova”) nelle aziende non prevede più la sola installazione di software antivirus, anti-malware, anti-phishing, ma il servizio in outsourcing di esperti di sicurezza informatica, pronti a rilevare anomalie nella rete aziendale – che non sono altro che segnali di atti preparatori a un attacco informatico.

Contattaci:

    Il tuo nome*

    La tua email*

    Il tuo telefono*

    La tua città

    Il tuo messaggio

    * campo obbligatorio

    Condividi:

    Lascia un commento

    Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

    Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

    Utilizzando il sito, accetti l'utilizzo dei cookie da parte nostra. maggiori informazioni

    Questo sito utilizza i cookie per fonire la migliore esperienza di navigazione possibile. Continuando a utilizzare questo sito senza modificare le impostazioni dei cookie o clicchi su "Accetta" permetti al loro utilizzo.

    Chiudi