Il malware Baldr è un mostro di Frankenstein formato da diversi frammenti di codice e, nonostante non sia più disponibile sul mercato (deep web), può essere ancora utilizzato da chi l’aveva precedentemente acquistato
Sophos (LSE: SOPH), leader mondiale per la protezione delle reti e dell’endpoint, ha pubblicato un’approfondita ricerca condotta dai SophosLabs su Baldr, un “ladro d’informazioni” apparso per la prima volta a gennaio 2019. Il report, Baldr vs il Mondo, fornisce una visione sulla popolarità del malware e sulle sue uniche caratteristiche killchain. La ricerca analizza inoltre il funzionamento interno di Baldr, tra cui i comportamenti dei cybercriminali e i passi falsi avvenuti dal lato della vendita e dall’acquisto che hanno portato alla potenziale scomparsa dal deep web a giugno.
Secondo i SophosLabs, chi ha sviluppato Baldr ha pensato di venderlo sul deep web come uno strumento entry-level per i cybercriminali che avrebbero attaccato, in primis, i PC gamer. Gli attacchi di Baldr però non si sono limitati ai gamer ma hanno iniziato a diffondersi su qualsiasi tipo di pc.
Baldr, come diversi tipi di malware, utilizza frammenti di codici presi in prestito da altre famiglie di malware. Baldr, però, si spinge oltre: difatti è formato da parti di un gran numero di altri malware, rendendolo più simile a un "mostro di Frankenstein creato da frammenti di codice".
La ragione principale per cui gli utenti dovrebbero fare attenzione a Baldr è la sua capacità di accedere velocemente ad un grande numero di informazioni, tra cui le password salvate, le cache, i file di configurazione, i cookie e altri file da un’ampia gamma di applicazioni.
I SophosLabs hanno rintracciato attacchi in tutto il mondo, in particolare:
- Indonesia (21%)
- Brasile (14,14%)
- Russia (13,68%)
- Stati Uniti (10,52%)
- India (8,77%)
Baldr è scomparso dal mercato a giugno, apparentemente per una lite tra il creatore e il distributore. I SophosLabs prevedono che il malware ritornerà tra poco, probabilmente con un nuovo nome.
"Resta da vedere se Baldr sia stato solo una meteora, caduta vittima di una disputa tra cybercriminali o se tornerà come una minaccia a lungo termine. Tuttavia, la sua stessa esistenza è un esempio di come anche pezzi di codice malware rubati, cuciti insieme per creare un "mostro di Frankenstein", possono essere incredibilmente efficaci nell'irrompere, rubare tutto e poi scomparire. L'unico modo per fermare tali minacce è attuare pratiche di sicurezza di base, ma essenziali, che includono l'uso di software di sicurezza aggiornati", ha commentato Albert Zsigovits, un ricercatore sulle minacce di SophosLabs in Ungheria.
L’attacco ai gamer
I gamer, di solito, utilizzano sistemi più potenti e sono più inclini ad installare strumenti personalizzati, utility e applicazioni da diverse fonti, tutte queste caratteristiche li rendono delle vittime perfette per i cybercriminali. In particolare, le utility abilitano i “trucchi” che spesso usano dei processi simili a quelli di un malware, come la DLL injection, la modifica o l’inserimento di codice all’interno della memoria. Questi processi non solo possono destabilizzare il sistema, ma rischiano di rovinare l’esperienza di gioco ad altri giocatori.
“Nonostante Baldr sia attualmente non disponibile sul mercato (deep web), può essere ancora utilizzato dagli hacker che l’avevano precedentemente acquistato e rappresenta tutt’ora una minaccia. In generale, i gamer e gli utenti di pc dovrebbero prestare particolare attenzione ai malware e attuare contromisure per difendere i propri sistemi con soluzioni di sicurezza come Sophos Home, che analizza i giochi e i trucchi”, ha commentato Zsigovits.
Come proteggersi da Baldr
Per proteggersi da Baldr, gli utenti dovrebbero diffidare dalle pubblicità online che promettono “troppo”, se qualcosa sembra troppo bella per essere vera, probabilmente è una truffa. È importante usare sempre le migliori ed elementari pratiche di sicurezza e su ogni dispositivo. Le aziende possono avvalersi di una soluzione di sicurezza di livello enterprise che rileva i malware come Sophos Intercept X, che protegge anche dai ransomware. Sophos Home è perfetta per controllare i computer familiari e i videogiochi così da intercettare Baldr e altri malware.
Sophos Home implementa un approccio di sicurezza a più livelli, combinando il rilevamento comportamentale, la protezione avanzata degli exploit, l'antivirus e il rilevamento statico basato sull'IA che lavorano in tandem per proteggere i giocatori. Inoltre, Sophos Home protegge i trasferimenti di file da siti di gioco e server sospetti analizzando il traffico di rete per rilevare il traffico dannoso e scansionando i file scaricati in tempo reale mentre vengono scritti nel file system. In combinazione con la protezione dai siti di phishing e le funzionalità di gestione remota, Sophos Home offre un approccio completo alla protezione che è la scelta di sicurezza ideale per i giocatori.
Infine, tutti gli utenti di computer dovrebbero essere più astuti per quanto concerne l’uso di password. Usare e cambiare di frequente password complesse, servirsi di un’unica password per la banca e altri servizi finanziari online oltre che a monitorare qualsiasi attività sospetta.
Deep Web
Il deep web (o web sommerso) è la terra di mezzo tra il surface web (dove navighiamo) e il dark web, dove si nascondono agiscono gli hacker. Poiché è più difficile accedere al dark web, i criminali informatici a volte vendono il loro malware sul deep web per raggiungere un pubblico più ampio (sì, i criminali informatici sono capitalistici come qualsiasi business leader) o i cybercriminali alle prime armi che cercano modi per guadagnare velocemente soldi. SophosLabs ritiene che questa fosse l'intenzione degli sviluppatori di Baldr.