Una campagna che diffonde malware attraverso WhatsApp sta mettendo a rischio gli utenti della popolare applicazione di messaggistica, e il meccanismo con cui agisce è tanto semplice quanto subdolo. A scoprirla è stato il team di ricerca e analisi globale di Kaspersky, il cosiddetto GReAT, che ha ricostruito il funzionamento di questa minaccia. Il punto centrale di tutta la faccenda è uno solo: gli allegati infetti non arrivano da numeri sconosciuti, ma da contatti che la vittima ha già in rubrica.
Funziona così. Chi ha messo in piedi questa operazione utilizza account compromessi per spedire i file dannosi. Significa che il messaggio sembra provenire da qualcuno di cui ci si fida, un amico, un collega, un fornitore. E questo cambia tutto. Davanti a un mittente noto, la guardia si abbassa, la curiosità prende il sopravvento e il file viene aperto senza troppi pensieri. Esattamente quello su cui contano gli aggressori.
I documenti spediti hanno un aspetto rassicurante. Si presentano come fatture, estratti conto bancari, registri dei pagamenti, solleciti. Tutta roba che, almeno sulla carta, ha senso ricevere. Ma una volta installato, il malware apre una porta sul sistema della vittima, garantendo all’attaccante un accesso remoto al dispositivo.
Come agisce la catena di infezione
Fareed Radzi, ricercatore di sicurezza di Kaspersky GReAT, ha spiegato con parole piuttosto chiare la logica dietro questa campagna. “Gli aggressori sfruttano la fiducia all’interno delle piattaforme di messaggistica utilizzando account WhatsApp compromessi per inviare allegati dannosi che sembrano provenire da contatti noti, rendendo i destinatari molto più propensi a interagire con essi”, ha dichiarato.
C’è poi un dettaglio che racconta quanto sia curata l’operazione. I nomi dei file vengono camuffati da normali documenti aziendali e tradotti in più lingue, così da colpire un bacino di potenziali vittime molto più ampio. “Una volta aperti, innescano una catena di infezione a più fasi che recupera ed esegue silenziosamente ulteriori componenti dannosi da infrastrutture esterne”, ha aggiunto Radzi. In pratica il file iniziale è solo l’inizio, una specie di apripista che scarica altri pezzi del puzzle direttamente dalla rete, senza che l’utente si accorga di nulla.
Cosa fare per difendersi
Gli esperti del Kaspersky Global Research and Analysis Team hanno messo nero su bianco alcune indicazioni pratiche per evitare guai. La prima regola è quella più ovvia ma anche la più trascurata: prudenza con gli allegati inaspettati. Anche se il messaggio arriva da un contatto conosciuto, vale la pena fermarsi un attimo prima di toccare qualsiasi file, perché proprio quella familiarità è l’esca.
Occhio poi alle estensioni. Vanno evitati gli script e i file eseguibili con estensioni come .vbs, .vbe, .exe, .bat, .cmd, .js e .ps1, a meno che non si sia verificata in modo indipendente la loro reale provenienza. Sono proprio questi i formati che nascondono le brutte sorprese.
Infine, un consiglio che vale sempre e comunque: installare una soluzione di sicurezza affidabile su tutti i dispositivi, computer e smartphone compresi. Un buon software di protezione avvisa in caso di rischio e blocca l’infezione prima che possa fare danni. Una rete di sicurezza che, di fronte a campagne ben congegnate come questa, fa davvero la differenza.