Un contagocce è un piccolo programma di supporto che facilita la consegna e l'installazione di malware. Gli spammer e altri malintenzionati utilizzano i contagocce per aggirare le firme utilizzate dai programmi antivirus per bloccare o mettere in quarantena il codice dannoso. È molto più facile cambiare il contagocce, se la sua firma viene riconosciuta, che riscrivere la base di codice dannosa.
I dropper, come molti dei loro più grandi cavalli di Troia, possono essere persistenti o non persistenti. I contagocce non persistenti installano malware e quindi si rimuovono automaticamente. I contagocce persistenti si copiano in un file nascosto e rimangono lì finché non completano l'attività per cui sono stati creati.
I contagocce possono essere diffusi da persone che:
- Apri un allegato di posta elettronica infetto.
- Acquisisci un download drive-by su un sito Web infetto.
- Fare clic su un collegamento dannoso in un'e-mail o su un sito Web.
- Utilizzando un'unità flash infetta.
A volte i dropper vengono forniti in bundle con programmi di utilità gratuiti (come ad blocker) per evitare il rilevamento da parte del software antivirus. Quando il programma gratuito viene eseguito, il contagocce scaricherà e installerà il malware prima di decomprimere e installare l'utilità legittima.
Come si nascondono i contagocce
I dropper possono richiedere l'esecuzione da parte dell'utente, ma possono anche essere eseguiti sfruttando una vulnerabilità di sicurezza. I contagocce sono spesso mascherati e nascosti nelle directory (cartelle) di un computer, in modo che, sebbene siano visibili, sembrano programmi o tipi di file validi. A volte i dropper vengono forniti in bundle con programmi di utilità gratuiti (come ad blocker) per evitare il rilevamento da parte del software antivirus. Quando il programma gratuito viene eseguito, il contagocce scaricherà e installerà il malware prima di decomprimere e installare l'utilità legittima.
I contagocce non sono associati ad alcuna estensione di file, il che li rende più difficili da rilevare. Il software, che essenzialmente si comporta come un cavallo di Troia, viene spesso utilizzato negli attacchi di spear phishing.
Sebbene i dropper siano tradizionalmente programmi autonomi, le loro capacità stanno aumentando e sono incluse come parte di un pacchetto malware. Alla fine del 2014, ad esempio, l'FBI ha riferito che il malware utilizzato negli attacchi a Sony associati al loro film L'intervista è venuto avvolto in un contagocce eseguibile che si installava come servizio Windows. I dati raccolti dal Verizon DBIR 2020 mostrano che quasi il 25% degli incidenti del settore pubblico coinvolge un contagocce.
Prevenire i contagocce
La Cybersecurity and Infrastructure Security Agency (CISA) raccomanda agli utenti e agli amministratori:
- Blocca gli allegati di posta elettronica che non possono essere scansionati dal software antivirus.
- Implementa una strategia zero trust.
- Aderire al principio del privilegio minimo (POLP).
- Implementa lo slicing della rete per segmentare e separare reti e funzioni.
Fai un quiz!
1. Zeus, noto anche come Zbot, è un popolare malware che consente ai malintenzionati di creare il proprio _________________.
un. firme di virus
b. cavalli di Troia
Risposta
2. Cos'è un mantrap?
un. un server di comando e controllo che invia direttive ai dispositivi infetti.
b. una piccola stanza con due porte.
Risposta
3. Come chiamate la programmazione incorporata nella memoria persistente della tastiera del vostro computer?
un. driver del software
b. firmware
Risposta
4. Cosa fa una backdoor?
un. aiuta ad aggirare i meccanismi di sicurezza di un computer.
b. separa il front-end di un sito Web dal back-end per migliorare la privacy.
Risposta
5. I dropper persistenti sono spesso usati per eseguire attacchi APT. Cosa significa APT?
un. minaccia persistente avanzata
b. thread di programmazione automatizzata
Risposta