Adobe: al posto degli aggiornamenti, scarica malware infettando il pc.

Sembra il sito Adobe, ma in verità non lo è.. sono gli hacker.

Un banale aggiornamento di Flash Player proveniente dalla casa Adobe, ma che in realtà infetta i computer con un Trojan.

Conosciuti per prendere di mira le ambasciate e le altre organizzazione nell’Europa dell’est e secondo alcuni esperti avrebbero legami abbastanza grandi con organi importanti.

Si parla del noto gruppo TURLA, che tempo a dietro si è reso noto per l’uso di tecniche dei commenti di instagram per inviare comandi in remoto ai loro trojan.

I ricercatori di ESET in spiegano in un report abbastanza dettagliato, i loro attacchi per diffondere la backdoor Mosquito che sfrutta tecniche del quale non si è riusciti ancora a comprendere.

Hanno usato spesso per diffondere il loro trojan un aggiornamento di Adobe Flash Player, all’interno del quale è nascosto il malware.

Non si tratta di una novità, tantè che ogni utente ha imparato a essere sospettoso quando viene proposto un aggiornamento di Flash Player

controllando che il collegamento proposto corrisponda davvero al sito ufficiale di Adobe.

Questi esperti cyber-criminali, secondo alcune analisi, sono riusciti a trovare un modo per aggirare questo controllo, facendo risultate l’aggiornamento infetto proveniente dal sito originale e addirittura da un indirizzo IP di Adobe.

Escludendo l’idea che questi hacker son riusciti a bucare i sistemi Adobe, evidenziando che la maggior parte dei download sono avvenuti tramite protocollo HTTP (NON SICURO!) e non HTTPS) gli esperti di ESET hanno formulato una loro ipotesi…

QUESTA:

Si tratta di un attacco di tipo Man in the Middle (MitM) per dirottare il traffico del PC che intendono compromettere.

Tale risultato potrebbe essere ottenuto attraverso la compromissione del gateway, ma anche qui il ragionamento è lo stesso:

da un punto di forza simile, si potrebbero portare attacchi decisamente più “diretti” ed efficaci.

Perché ricorrere a un aggiornamento di Flash Player?

Probabile che l’attacco sia portato direttamente attraverso gli Internet Service Provider, sia attraverso un’azione di hacking, sia attraverso la loro partecipazione attiva magari grazie a un complice infiltrato.

Queste ipotesi raccolte da ESET, però, riguardano casi in paesi diversi e in cui le vittime si appoggiavano a quattro ISP diversi. Abbastanza..

Un’ultima ipotesi potrebbe anche essere un dirottamento del traffico a livello del Border Gateway Protocol (BGP) come avvenuto in passato in altri casi.

Questo tipo di dirottamenti ad alto livello, però, vengono di solito individuati piuttosto rapidamente, dal momento che hanno ripercussioni su tutta la rete e difficilmente passano inosservati.

 

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *