Quel cavallo di Troia che risponde al nome di “crack.exe”

Credits: https://news.sophos.com/en-us/2021/09/01/fake-pirated-software-sites-serve-up-malware-droppers-as-a-service/

Dareste le vostre chiavi di casa a uno sconosciuto?

La risposta, solitamente ovvia, non sembra trovare lo stesso riscontro nell’ambito informatico, in cui un numero imprecisato ma ancora troppo alto di utenti sembra non avere alcun problema con l’idea di far girare codice sconosciuto, che compie azioni non note, spesso con privilegi di root, sulla propria macchina sulla quale si svolge una importante parte della proprie funzioni esistenziali, dal lavorare, all’interfacciarsi con la Pubblica Amministrazione per fornire e ricevere documenti di ogni tipo e gestire denaro su conti di home banking.

Abbiamo di recente trattato di ransomware e di quanto possa essere fragile il business model di un’azienda moderna per la quale la componente ‘fatta di bit’ è spesso il ‘core asset’ e non meramente un contorno funzionale. Alla luce di ciò, vale la pena fermarsi un attimo a considerare un elemento che, spesso, è un tallone di Achille dimenticato: le crack software installate da chi lavora nell’azienda.

Ebbene, anche se parole come “eMule”, “Napster” e “peer to peer file sharing” fanno ormai parte dei ricordi nostalgici dei primi anni del boom di Internet e anche se tale fenomeno non è più nè così diffuso nè così popolare, sembrano cambiati solo i mezzi ma non lo scopo: rimane quella cara vecchia e, soprattutto, illegale abitudine di non pagare per del software commerciale laddove sia facile reperire, online, delle crack, ovvero del software che consente di raggirare le protezioni di licenza e utilizzare il software come se l’avessimo pagato e attivato regolarmente.

La pirateria del software sembra, di fatto, essere uno dei ‘crimini informatici’ più commessi e a cui si dà meno peso, di cui è difficile ottenere statistiche reali ma che, spannometricamente, sembra non accennare a diminuire. Che sia una scelta tacitamente accettata in azienda o un laptop aziendale usato anche per scopi personali, l’effetto finale cambia poco: si sta mettendo a forte rischio tutta la sicurezza del perimetro aziendale e di tutte le aziende che con noi operano.

Come avrete intuito, quindi, non è dell’etica e l’illegalità del fatto ciò su cui vogliamo focalizzare oggi, bensì sottolineare vari modi in cui un comportamento così apparentemente innocuo può rendere vano il lavoro di un intero reparto di cybersecurity, i cui sforzi sono spesso sbilanciati nel proteggere l’azienda da ciò che arriva da fuori e, notoriamente, da ciò che arriva per email.

Le crack software sono spesso rilevate come malware dagli antivirus e ciò potrebbe indurre l’utente a pensare che si tratti di falsi positivi o, peggio, che tali crack siano intenzionalmente taggate come malware unicamente per scoraggiarne l’utilizzo. Ciò che solitamente avviene, a questo punto, è che l’utente disattivi l’antivirus mentre la installa o aggiunga quell’eseguibile a una whitelist, rendendo la protezione vana. E se si trattasse davvero di falsi positivi?

Per fugare questo genere di dubbi, analizziamo alcuni casi specifici che, a dispetto della scarsa copertura mediatica, non sono affatto rari come si potrebbe credere.

Il problema non è nuovo, non tocca soltanto il software aziendale e, quando l’utente non si infetta già dal sito in cui le crack vengono distribuite, l’effetto ha il potenziale di essere, come al solito, devastante.

Più recentemente, nel 2021, Eduard Budaca e Bogdan Botezatu di Bitdefender hanno analizzato delle crack per Microsoft Office e Adobe Photoshop CC, le quali risultavano delle vere e proprie backdoor piene di funzionalità e con capacità avanzate di esfiltrazione.

E’ solo di poche settimane l’ultimo studio di Avast che analizza FakeCrack, una campagna di crypto stealing che si propaga sotto forma di crack software. Insomma, il solito cavallo di Troia che, sebbene si studi nelle scuole e faccia sorridere per la banalità del trucco in cui consiste, sembra proprio che continui a funzionare molto bene.

Se vi state ancora chiedendo quale possa essere il potenziale danno dall’avere una backdoor sul proprio pc, è presto detto: considerando che abbiamo fatto girare del codice sconosciuto sulla nostra macchina, magari anche mettendolo in ‘whitelist’ per l’antivirus (quando non lo abbiamo disattivato completamente), abbiamo, di fatto, dato l’accesso, a uno o più estranei, a tutto ciò che è il nostro mondo informatico e siamo adesso esposti a un ampio ventaglio di rischi che vanno dal furto di identità (chi non ha mai dovuto caricare le foto dei documenti di identità sul proprio pc, per svolgere delle pratiche online?) al furto vero e proprio di denaro (l’home banking è ormai ovunque e l’otp non è una panacea), al furto di dati aziendali e accessi vpn a infrastrutture sensibili se da quel pc si lavora anche, al ritrovarsi parte inconsapevole di crimini informatici posti in essere da altri (ad esempio, i nostri computer potrebbero essere divenuti parte di una botnet o diventare salti di mezzo per altre attività poco lecite, o ancora si potrebbe essere il vettore iniziale per un attacco informatico verso le aziende presso le quali si lavora).

E’ lecito chiedersi: esistono dei veri falsi positivi in alcune crack software? Sebbene non sia possibile escluderlo, il potenziale rischio è così alto e le nostre vite sono ormai così digitalizzate che, nella stragrande maggioranza dei casi, il gioco non vale assolutamente la candela.

Il rischio di sanzioni, nel quadro allarmante appena dipinto, è solo una componente di un potenziale danno che, specie combinato con un potenziale furto di identità e con il conseguente rischio di ritrovarsi indagati per atti criminosi e truffe svolti in nostro nome, potrebbe raramente ma potenzialmente avere dei risvolti ben più pesanti del dover sborsare dei soldi per una licenza software.

Tags: , , , , , ,