Questa storia ha tutto: streaming pirata, malware subdoli e persino GitHub usato come cavallo di Troia. Insomma, un mix esplosivo che sembra uscito da un film di hacker, ma è pura realtà. Alla fine del 2023, Microsoft ha scoperto un’enorme campagna di malvertising che ha messo in pericolo quasi un milione di dispositivi. Il trucco? Ingannare gli utenti con link apparentemente innocui, portarli su una giostra di reindirizzamenti e infine convincerli a scaricare malware direttamente da un repository GitHub.
Attenzione ai link innocui
Ecco come funzionava. Tutto partiva dai soliti siti di streaming pirata, quelli dove la gente va per vedere l’ultima serie senza sborsare un euro. Appena si cliccava su un link, partiva una catena di reindirizzamenti che sembrava un percorso a ostacoli: quattro o cinque pagine di passaggio prima di arrivare a un innocuo file ospitato su GitHub. Il problema? Quel file era tutt’altro che innocuo.
Una volta scaricato e avviato, il malware si metteva subito al lavoro, raccogliendo informazioni sulla vittima: memoria disponibile, caratteristiche della scheda grafica, risoluzione dello schermo, versione del sistema operativo… Insomma, un check-up completo, ma per scopi tutt’altro che benevoli. Poi passava alla fase successiva, stabilendo una connessione con un server remoto (un classico command and control) per scaricare altri file dannosi e magari rubare qualche dato sensibile.
Dopo la segnalazione, GitHub ha eliminato i repository infetti, e Microsoft ha diffuso informazioni utili per individuare attacchi simili in futuro. Ma questa vicenda conferma ancora una volta quanto sia facile per i cybercriminali sfruttare piattaforme legittime e quanto sia difficile per gli utenti accorgersene prima che sia troppo tardi.
Cybersecurity sotto attacco
Nel frattempo, nel mondo della sicurezza c’è sempre qualcosa che bolle in pentola. Red Hat ha ottenuto un ruolo chiave nella gestione delle vulnerabilità open source, consolidando la sua posizione come punto di riferimento nel settore. Ma mentre alcune aziende lavorano per migliorare la sicurezza, altre si trovano alle prese con gravi problemi.
Ad esempio, una falla critica nel software WhatsUp Gold (CVE-2024-4885) permette di eseguire codice da remoto senza autenticazione. In pratica, un invito a nozze per gli hacker. E non è l’unico problema in circolazione: anche Pentaho Business Analytics Server di Hitachi Vantara ha vulnerabilità che potrebbero essere sfruttate per bypassare le restrizioni di sicurezza.
E poi c’è Cisco, che ha fatto una mossa che farà storcere il naso a molti. La vulnerabilità CVE-2023-20118, che colpisce alcuni router per piccole imprese, è stata ufficialmente inserita nell’elenco delle falle attivamente sfruttate. Ma invece di rilasciare una patch, Cisco ha deciso di non correggere il problema, consigliando semplicemente di comprare un nuovo router. Non esattamente la soluzione che gli utenti speravano di sentire.
Morale della storia? La sicurezza informatica è una giungla, e nessuno è al sicuro. Gli attacchi diventano sempre più sofisticati, le vulnerabilità spuntano ovunque, e a volte nemmeno i produttori corrono ai ripari. L’unica cosa da fare è restare vigili, aggiornare i dispositivi e, magari, pensarci due volte prima di cliccare su quel link di streaming gratuito che promette l’ultimo film in HD.
