Attivatori non ufficiali di Windows e Office, la nuova strategia degli hacker
Rilevata una nuova pericolosa minaccia nella sicurezza informatica all’interno dei software per attivare Windows e Microsoft Office senza una licenza valida
In sintesi
- Gli hacker sfruttano un semplice refuso in un indirizzo web quasi identico a quello del Microsoft Activation Scripts per installare software di crypto-mining o trojan per il controllo remoto del PC.
- Per difendersi, gli esperti consigliano di evitare script di origine incerta, verificare con estrema cura ogni dominio e comando digitato e, preferibilmente, utilizzare solo licenze software legittime.
Secondo gli esperti di sicurezza informatica un semplice refuso può trasformarsi in un problema molto grave grazie a una campagna malevola che sfrutta una falsa pagina di attivazione di Windows per diffondere malware attraverso PowerShell. Il bersaglio sono gli utenti che ricorrono a script di attivazione non ufficiali, spesso convinti di eseguire un’operazione relativamente innocua e invece esposti a compromissioni profonde del sistema.
Come funziona questo nuovo attacco informatico
Da quello che sappiamo, gli hacker utilizzano i cosiddetti Microsoft Activation Scripts (MAS), una raccolta open source di script PowerShell utilizzata per attivare Windows e Office senza una licenza valida. Il meccanismo dell’attacco è tanto semplice quanto efficace e al posto del dominio legittimo utilizzato dal progetto, viene proposto un indirizzo quasi identico, differente per una sola lettera. Una variazione minima, tipica del typosquatting ma sufficiente a dirottare il traffico verso server controllati dai malintenzionati digitali.
Nel momento in cui l’utente copia o digita manualmente il comando PowerShell con il dominio sbagliato, lo script scarica ed esegue codice dannoso, avviando l’infezione senza che vi siano segnali evidenti.
Negli ultimi tempi la minaccia si è diffusa a macchia d’olio e diversi utenti hanno raccontato sui forum e su Reddit la comparsa di avvisi anomali sui propri computer. I messaggi segnalavano la presenza del Cosmali Loader, un malware modulare progettato per fungere da vettore di ulteriori infezioni. Una volta installato, il loader è in grado di scaricare e avviare componenti aggiuntivi, tra cui software di crypto-mining e trojan di accesso remoto come XWorm, offrendo agli aggressori un controllo esteso sui sistemi compromessi.
Come difendersi da questa minaccia
Trattandosi di una minaccia informatica in rapidissima espansione, gli esperti di cyber security invitano a verificare con estrema attenzione ogni comando eseguito e a non lanciare script PowerShell senza conoscerne con certezza l’origine. La digitazione manuale dei comandi, in particolare, aumenta in modo significativo il rischio di cadere in trappole basate su domini manipolati.
Oltretutto, questo episodio riporta sotto i riflettori un problema noto da anni, quello degli strumenti di attivazione non ufficiali che rappresentano un canale privilegiato per la diffusione di malware. Per gli utenti il pericolo è duplice. Da un lato c’è l’aspetto legale legato all’uso di software senza licenza e dall’altro, ancora più concreto, c’è il rischio per la sicurezza informatica. Script apparentemente innocui possono trasformarsi in veicoli di infezioni complesse, difficili da individuare e rimuovere.
Chi continua a utilizzare questi strumenti, infatti, dovrebbe almeno comprenderne il funzionamento, testarli in ambienti isolati e prestare la massima attenzione a domini e comandi. Questo incidente, dunque, dimostra quanto sottile sia il confine tra una scorciatoia per attivare Windows e un serio problema di sicurezza, capace di compromettere interi sistemi operativi in pochi secondi.
