Abbiamo scoperto il ritorno del malware PlugX: ecco cosa devi sapere

Il panorama della sicurezza informatica è stato recentemente scosso dal ritorno di un malware che si pensava fosse ormai superato. Il worm USB PlugX, noto per la sua capacità di infettare e replicarsi attraverso dispositivi di archiviazione USB, è tornato a far parlare di sé. Originariamente emerso nel 2019, questo malware ha visto una nuova ondata di infezioni che ha colpito quasi 2,5 milioni di indirizzi IP a partire da settembre 2023. La sua diffusione è facilitata dalla capacità di infettare automaticamente le unità USB, propagando l’infezione ogni volta che vengono collegate a un nuovo dispositivo.

PlugX opera creando backdoor sui dispositivi infetti, fornendo un punto di accesso nascosto agli attaccanti per entrare nel sistema senza autorizzazione. Attraverso queste backdoor, gli attaccanti possono ottenere il controllo remoto del dispositivo infetto, eseguendo comandi dannosi come rubare dati, installare altri malware e manipolare file sul dispositivo. Le origini di PlugX sono legate a gruppi cinesi associati al Ministero della Sicurezza dello Stato cinese. Nonostante il creatore del worm abbia abbandonato l’indirizzo IP utilizzato come canale di comando e controllo, il malware continua a vivere autonomamente su un numero indeterminato di macchine.

I ricercatori di Sekoia hanno acquistato l’indirizzo IP e intercettato il traffico per prevenire ulteriori abusi. Tuttavia, il volume di traffico ricevuto indica che PlugX rimane attivo su molti dispositivi. La situazione è complessa: disinfettare le unità USB infette comporta il rischio di perdere dati legittimi, mentre consentire loro di rimanere infette facilita la continua diffusione del worm. È fondamentale adottare misure preventive per proteggere i dispositivi, come l’installazione di software antivirus aggiornato, la scansione regolare delle unità USB e l’adozione di pratiche di sicurezza informatica robuste per mitigare i rischi.

Il Furto di Carte di Credito: Un Problema in Crescita

Un recente studio condotto da NordStellar ad aprile 2024 ha rivelato un dato allarmante: 600.000 carte di credito sono state sottratte attraverso malware. Il circuito più colpito è stato Visa, e le tecniche di attacco utilizzate variano dal phishing all’ingegneria sociale. I criminali informatici, nel Dark Web, possiedono servizi a pagamento per ottenere software dannoso, noti come Malware-as-a-Service (MaaS), per utilizzarli contro le vittime e ottenere dati delle carte di credito e credenziali correlate, per accedere agli account bancari e svuotarli.

Uno dei malware più diffusi è RedLine, che secondo un report di NordVPN è responsabile del furto di dati sensibili di 6 carte di credito su 10. La sua diffusione è facilitata dal costo relativamente basso e dalla sua efficacia. RedLine si diffonde facilmente tramite tecniche di ingegneria sociale, rivolgendosi anche ai principianti. Non solo i dati delle carte di credito vengono sottratti attraverso queste soluzioni, ma anche una certa quantità di dati sensibili che collegano un determinato utente a una specifica carta di pagamento. Le carte di pagamento del circuito Visa sono le più colpite, in particolare negli Stati Uniti, Brasile, Argentina, India e Messico.

I dati sottratti includono cookie, credenziali, dati anagrafici della vittima e informazioni di compilazione automatica. Chi sottrae i dati non li utilizza per scopi personali, ma per rivenderli a terzi. La domanda e l’offerta di questi dati sono floride. I dati vengono messi in vendita su Telegram o su determinati marketplace nel Dark Web. I truffatori acquistano i dati singolarmente o in blocco, e le carte di pagamento con informazioni aggiuntive sono le più richieste. Tutto avviene nel giro di poche ore, e le transazioni fraudolente possono andare a buon fine se l’utente non si accorge della violazione.

Modalità di Attacco e Difesa

Le tecniche di attacco utilizzate dai criminali informatici sono sempre le stesse, ma non sempre facili da individuare. Le e-mail di phishing sono il metodo preferito, in cui i criminali inoltrano false e-mail per persuadere l’utente a cliccare su link infetti o scaricare software dannoso. Anche i software non aggiornati possono essere calamite per gli hacker, che sfruttano falle di manutenzione non adeguata. Nella “lista dei cattivi” ci sono anche i siti web pericolosi, che gli utenti visitano per vedere l’ultima serie TV gratuitamente o scaricare software. I pericoli si celano nelle pubblicità sospette e nei pop-up non cristallini, e attraverso la tecnica del juice jacking, le stazioni di ricarica pubbliche con porte USB infettate con malware possono infettare il dispositivo collegato.

Come difendersi da tutto questo? Esistono software specifici che avvertono quando un link è potenzialmente pericoloso. È fondamentale utilizzare app come Authenticator (di Google o Microsoft) per l’autenticazione a due fattori, che può essere anche via SMS. È importante non cedere i codici segreti a terzi, altrimenti si potrebbe perdere il controllo dei propri account. Bisogna sempre mantenere aggiornate le applicazioni e i sistemi, utilizzare password complesse e tenersi alla larga dai siti web sospetti, realizzati allo scopo di fornire contenuti illegali.

Bullet Executive Summary

Il ritorno del malware PlugX e l’aumento dei furti di carte di credito attraverso malware come RedLine rappresentano una minaccia significativa per la sicurezza informatica globale. Questi attacchi non solo compromettono la sicurezza dei dispositivi, ma mettono a rischio anche i dati sensibili degli utenti. È essenziale adottare misure preventive, come l’installazione di software antivirus aggiornato, l’uso di autenticazione a due fattori e la manutenzione regolare dei sistemi, per proteggere i propri dispositivi e dati personali.

Una nozione base di tecnologia correlata al tema principale dell’articolo è l’importanza della cyber hygiene, ovvero l’insieme di pratiche e comportamenti che aiutano a mantenere sicuri i dispositivi e le informazioni personali. Questo include l’uso di password complesse, l’aggiornamento regolare del software e l’evitare clic su link sospetti.

Una nozione di tecnologia avanzata applicabile al tema dell’articolo è l’uso di intelligenza artificiale (IA) per il rilevamento e la prevenzione delle minacce informatiche. L’IA può analizzare grandi quantità di dati per identificare comportamenti anomali e potenziali minacce in tempo reale, migliorando significativamente la capacità di risposta alle minacce e riducendo il rischio di attacchi informatici.

In conclusione, la sicurezza informatica è una responsabilità condivisa che richiede attenzione costante e l’adozione di misure preventive efficaci. La consapevolezza e l’educazione degli utenti sono fondamentali per proteggere i propri dati e dispositivi dalle minacce informatiche in continua evoluzione.