Terrorismo informatico: WordPress sotto attacco, falso trading e carte di credito. Fine spid
I ricercatori Fortinet avrebbero scoperto di recente una campagna malevola che tramite un nuovo malware botnet (con funzionalità di scanner e brute forcer per piattaforme CMS) scritto nel linguaggio di programmazione Golang, starebbe prendendo di mira siti Web WordPress self-hosted nel tentativo di forzare password amministrative, per assumere il controllo completo degli obiettivi. Matrice digitale, rivista specializzata in tecnologia, lancia il monito: un’ eventuale compromissione potrebbe comportare diversi scenari di attacco successivi e pesanti ripercussioni in considerazione della popolarità del CMS WordPress e del suo bacino utenze a livello globale.
Salvatore Lombardo dichiara nel giornale di Livio Varriale, che la catena d’attacco si basa su un nuovo malware botnet chiamato GoTrim dai ricercatori (perché verrebbe utilizzata la stringa ” :::trim:::” per dividere i dati comunicati da e verso il server C2); utilizzerebbe una rete di bot per eseguire attacchi brute force in modo distribuito contro il target designato.
Secondo lo schema d’attacco ricostruito l’operatore malevolo fornirebbe un elenco di siti Web bersaglio e una serie di credenziali. Il malware proverebbe quindi a connettersi su ciascuno di questi siti tentando di forzare gli account amministrativi tramite le credenziali ricevute. In caso di successo, GoTrim accederebbe al sito violato per installare un client bot (tramite uno script downloader PHP per recuperare il client bot da un URL hardcoded), segnalando la nuova infezione al server C2 e restando in attesa di ricevere ulteriori comandi dagli attaccanti, espandendo così la botnet. Infine GoTrim per nascondere le proprie tracce non manterrebbe la persistenza nel sistema infetto ma piuttosto eliminerebbe lo script PHP e il componente brute force.
GoTrim comunicherebbe con il suo server di comando e controllo secondo due modalità (e scambiando i dati crittografandoli tramite AES-GCM con una chiave derivata da una passphrase incorporata nel file binario dello stesso malware): una modalità client, in cui si inviano richieste HTTP POST al server C2;
una modalità server (impostazione predefinita solo se l’indirizzo IP della vittima risulta essere pubblico), in cui si avvia un server HTTP per l’ascolto delle richieste POST in arrivo.
I comandi crittografati inviati al bot GoTrim consentirebbero di: rilevare i CMS. GoTrim tenta di identificare se viene utilizzato sul sito Web in esame uno dei quattro CMS tra WordPress, Joomla, OpenCart e DataLife Engine, controllando stringhe specifiche nel contenuto della pagina web; convalidare le credenziali fornite rispetto ai domini WordPress e OpenCart; terminare il malware.
Per quanto riguarda le tecniche di evasione impiegate è interessante notare che GoTrim sarebbe in grado di: prendere di mira solo siti Web WordPress self-hosted, poiché i provider WordPress gestiti solitamente implementano più misure di sicurezza per monitorare, rilevare e bloccare i tentativi di attacchi brute force rispetto a quelli self-hosted;
rilevare le tecniche anti-bot utilizzate dai provider di web hosting e CDN, come Cloudflare e SiteGround; cercare di imitare le richieste legittime di Mozilla Firefox su Windows a 64 bit utilizzando le stesse intestazioni HTTP inviate dal browser e supportando gli stessi algoritmi di codifica dei contenuti: gzip, deflate e Brotli;
rilevare la presenza di plug-in CAPTCHA in siti WordPress, riuscendo a caricare il risolutore per alcuni di questi plugin.
Poiché le campagne di attacchi brute force possono comportare non solo la violazione dei server ma anche la distribuzione di malware.
Per mitigare la minaccia GoTrim, Fortinet consiglia ai proprietari di siti WordPress di: utilizzare password amministrative complesse difficili da forzare;
di aggiornare il software CMS di base e tutti i relativi plug-in presenti sui propri siti all’ultima versione disponibile. Ciò ridurrebbe anche il rischio di infezioni da malware che sfruttano eventuali vulnerabilità non sanate. E ammonisce: “Sebbene questo malware sia ancora un work in progress, il fatto che abbia un brute force WordPress perfettamente funzionante combinato con le sue tecniche di evasione anti-bot, lo rende una minaccia da tenere d’occhio, specialmente con l’immensa popolarità del CMS WordPress, che alimenta milioni di utenti di siti web a livello globale“.
Secondo il rapporto, la campagna malware GoTrim individuata nel settembre 2022 sarebbe purtroppo ancora in corso.
Si apprende inoltre del successo dell’Operazione TradeScam, in quanto e’ stata sgominata la banda del falso trading online. Fornivano reti globali per attacchi DDOS. Europol ha arrestato dunque 7 gestori del servizio. La gang gerarchizzata era dedita alla realizzazione di falsi siti di pubblicità di trading e ad attività di riciclaggio dei profitti illeciti.
Salvatore Lombardo allude cosi’ alle numerosissime denunce raccolte dai Centri Operativi della Polizia Postale distribuiti sul territorio nazionale, che dimostrano come il fenomeno dei falsi investimenti offerti via web sia ormai in grande ascesa e il recente smantellamento da parte della Polizia di Stato di una sofisticata organizzazione criminale che gestiva il riciclaggio internazionale dei profitti illeciti derivanti da frodi via trading online, ne è un ulteriore prova.
“È stato riscontrato un notevole incremento del numero di portali online truffaldini che presentano investimenti redditizi con costi di ingresso in apparenza irrisori e rendimenti enormi riscontrabili anche nel medio e breve termine. Molto frequenti sono le chiamate telefoniche e l’invio di sms di truffatori che, impersonando le vesti di broker d’assalto, riescono a persuadere la vittima prescelta della convenienza dell’affare. In alcuni casi è la stessa vittima a contattare i truffatori, in quanto attratta da banner pubblicitari confezionati con grafiche ed annunci altamente suggestivi“, si legge nel rapporto della Postale.
“Grazie ad abili manipolazioni le vittime si spogliano talvolta di ingenti patrimoni frutto di un’esistenza di lavoro, credendo nella promessa di facili guadagni conseguiti in maniera del tutto lecita ma di fatto inesistenti.“, continua la Polizia Postale. Il cliente viene convinto, telefonicamente o online, da un presunto intermediario finanziario accreditato, ad investire anche una somma iniziale di poche centinaia di euro promettendo grandi guadagni. Dopo aver ricevuto il denaro investito, il falso broker, per convincere la vittima a investire sempre di più, simula operazioni finanziarie che generano piccole rendite, ma nel momento in cui la vittima decide di ricavare gli utili guadagnati, il presunto intermediario fa perdere le proprie tracce impossessandosi, indebitamente, dell’intero capitale investito; i depositi vengono richiesti in criptovalute o con bonifici verso conti offshore allo scopo di rendere difficile la rintracciabilità delle transazioni bancarie.
L’operazione investigativa iniziata nel 2019, nominata TradeScam, avrebbe portato ad individuare un’organizzazione criminale gerarchizzata che agiva con l’intento di riciclare il denaro proveniente dalle truffe dei falsi investimenti online ai danni di ignari utenti. Particolarmente complesso sarebbe stato il lavoro svolto dalla Polizia Postale, nell’ambito di una cooperazione internazionale, finalizzato alla ricostruzione dei vari flussi finanziari.
Sarebbe inoltre emerso che il gruppo criminale aveva una fitta rete di rapporti con società che ospitavano falsi siti di pubblicità di trading (ora oscurati) utilizzati per recuperare illecitamente le generalità lasciate dalle vittime interessate ad investire.
Si raccomanda sempre di diffidare da chi propone facili guadagni e investimenti di ulteriore denaro per sbloccare somme già versate. Qualora si volesse seriamente operare tramite piattaforme di trading online, occorre preventivamente assicurarsi che siano certificate dalla CONSOB e dalla Banca d’Italia, ricercare le recensioni riferite alle società di trading d’interesse e consultare la sezione “Warning and publications for investors” dell’ESMA (European Securities and Markets Authority).
Si consiglia altresì di: non condividere mai informazioni personali via telefono né consegnare password e dati di accesso a terzi; non prendere mai in considerazione o accettare passivamente l’installazione di software che consentano di controllare da remoto i propri dispositivi.
Albert Gonzalez risulta il più prolifico scammer con 170 milioni di carte di credito. E’ stato arrestato, ma ha evitato una condanna al carcere dopo aver accettato di consegnare 19 membri della ShadowCrew.
Livio Varriale scrive che tra il 2005 edil 2007 ha rubato e venduto oltre 170 milioni di numeri di carte e bancomat, anche se il suo percorso è iniziato molto prima. All’età di 14 anni, Gonzalez ha hackerato la NASA, suscitando l’interesse del Federal Bureau of Investigation (FBI). In seguito, il suo interesse per l’hacking ha continuato a crescere. All’inizio degli anni 2000, è stato accusato di essere dietro al gruppo ShadowCrew, che ha portato avanti uno schema simile di frode e hacking con milioni di carte di credito online. Migliaia di persone erano registrate sul sito web del gruppo, che metteva all’asta numeri di carte, account e-mail e documenti contraffatti (come passaporti e patenti di guida).
“Dopo un lungo lavoro, le forze dell’ordine sono riuscite a identificare e catturare Albert per molteplici capi d’accusa di frode con carte di credito e, durante questo periodo, sono riuscite a trasformarlo in un informatore. Alla fine ha portato all’arresto e allo smantellamento del gruppo di frodi ShadowCrew”, ha dichiarato Josh Bartolomie, vicepresidente dei Global Threat Services di Cofense. Per Gonzalez, tuttavia, la vita da criminale informatico non era affatto finita. “C’è una lezione da imparare”, ha aggiunto Bartolomie. “Mentre era in custodia [come] informatore, Albert è stato responsabile di una delle più grandi frodi di carte di credito identificate fino a quel momento”. In questo modo, Gonzalez ha svolto il ruolo di informatore pagato dalle autorità statunitensi, continuando a ottenere e vendere illegalmente i dati delle carte di credito online. Durante questo periodo, lui e i suoi complici hanno avuto accesso a oltre 170 milioni di numeri di carte di credito e bancomat di organizzazioni, tra cui 45,6 milioni di numeri di carte di credito e di debito di TJX Companies.
Si preconizza, da alcune dichiarazioni politiche non vetuste, la dismissione dello Spid con la carta d’identita’ digitale che coadiuvera’ ogni tipo di dati personali, economici e sanitari, il che’ rende auspicabile, sull’abbrivio delle ultime uscite di Musk, un’autorita’ di garanzia realmente apolitica ed imperniata sulla Costituzione, relativa la gestione della dovizia di dati ivi contenuti.
Vocabolario
*Preconizza: prevede, predefinire.
*Dovizia: grande numero.
*Vetuste: antiche.
