X

Cybercrimine, il ritorno del typosquatting ora inganna anche gli sviluppatori

Pixabay

Nei primi anni 2000, una tecnica di raggiro informatico molto diffusa era quella del “typosquatting” (da “squatting”, occupazione abusiva, e “typo”, errore di battitura), ossia un dirottamento di Url dell’utente verso un sito differente da quello che voleva raggiungere. Bastava un errore di battitura commesso digitando un indirizzo internet nel browser e si veniva trasportati – nostro malgrado – in un sito contenente virus informatici o altre forme di infezione digitale. I cybercriminali registravano domini come cvorriere.it refublica.it o yuotube.com per illudere i malcapitati di trovarsi nelle pagine che si sarebbero aspettati di trovare, ma che però erano pronte ad inoculare malware o a scaricare script travestiti da aggiornamenti ufficiali di questo o quel componente software. Nel tempo sono stati presi provvedimenti da parte delle società coinvolte che, pur non avendo responsabilità, hanno agito contro chi aveva registrato quei domini così tanto simili al nome del proprio brand o della propria testata. A prendere possesso di tutti quei nomi di dominio era sempre la stessa persona: si chiamava “Aleksejs Bojarovs” e la società che si occupava di mantenere in vita i server si chiamava “Prolat”, con base in Germania (poi trasferita in Lettonia). Nel mirino dell’organizzazione erano finite società private e testate giornalistiche come Alitalia, Tiscali, Libero, La Gazzetta dello Sport, Pagine Bianche, Trenitalia, Enel e perfino Google (il dominio fasullo registrato era “Gocgle”, davvero molto facile da confondere visivamente).

Il typosquatting non sfruttava solamente errori di battitura, ma anche – ad esempio – l’utilizzo di un differente “top level domain” (parte finale del dominio dopo il punto). Un caso eclatante fu quello di whitehouse.com al posto di whitehouse.gov, originariamente creato come sito per avviare discussioni senza censure sulle politiche governative americane, poi arricchito di contenuti per adulti per renderlo più redditizio. Un inganno con scopi certamente diversi dall’inoculazione di virus, ma pur sempre un’occupazione abusiva di un luogo digitale destinato ad avere altri scopi. Di fatto, non era illegale – come non lo è oggi – registrare un nome a dominio che risulti disponibile e non legato direttamente ad un nome di una persona o di una società. L’idea di coprire a tappeto tutti i più probabili errori di battitura e di predisporre software maligno pronto da scaricare si attesta invece al confine tra legalità e crimine.

Ad oggi, il typosquatting sembrerebbe passato di moda, o meglio: i criminali hanno pensato bene di convertirsi ad attività simili a quelle che mettevano in atto prima, ma più redditizie e ancor meno sospette. Invece di registrare nomi di dominio con errori di battitura, si cerca di registrare i nomi veri e propri, senza rubarli, ma prendendo, ad esempio, diverse declinazioni del nome principale, senza alcun tipo di equivoco. Gli stratagemmi sono diversi: si sfrutta una dimenticanza da parte di chi si occupa di rinnovare il nome a dominio, si acquistano declinazioni locali diverse (.it, .eu, .es, .de, .fr), domini al plurale oppure con trattini tra le parole composte (o senza, se nel dominio originale invece è presente) e poi si tenta di rivenderli al legittimo proprietario. Molto in voga è anche mettere all’asta i domini al miglior offerente attraverso un sito realizzato ad hoc, con tanto di quotazioni, più o meno fasulle. Questo tipo di attività è molto simile a quella del cybersquatting, ossia quella di appropriarsi di nomi di dominio corrispondenti a marchi commerciali altrui o a nomi di personaggi famosi al fine di realizzare un lucro sul trasferimento della proprietà o un danno a chi non lo possa utilizzare, con la differenza che, nel primo caso, i titolari del nome hanno già un loro dominio internet e un sito in funzione.

Se finora però le vittime erano state sempre l’anello debole della catena, ossia gli utenti poco attenti, quelli svogliati, quelli che usano i sistemi informatici senza sapere bene come funzionano, adesso – a distanza di quasi 20 anni – il typosquatting ha deciso di mietere vittime anche tra gli utilizzatori più smaliziati ed esperti, come ad esempio gli sviluppatori. A fine febbraio, infatti, il gruppo di esperti di cybersecurity “Unit42” della società “Palo Alto Networks” ha individuato una nuova variante del virus trojan (cavallo di Troia) “Bifrost” che ora colpisce i sistemi Linux, notoriamente quelli più utilizzati dagli addetti ai lavori. La nuova versione di questo trojan, chiamata “Brifose“, sfrutta il dominio download.vmfare.com (che punta su un server di Taiwan), molto simile a quello legittimo download.vmware.com (VMware è una società confluita in Dell Technologies che si occupa di sviluppare software per la realizzazione di macchine virtuali). La notizia fa guadagnare un record negativo a Bifrost, poiché – essendo stato identificato per la prima volta nel 2004 – è attualmente uno dei “remote access trojan” (Rat) più longevi. Dopo l’infezione, il virus consente la raccolta di informazioni sensibili sulla vittima: dati come l’hostname e l’indirizzo IP. Inoltre, è possibile eseguire codice sul dispositivo colpito.

Altra notizia preoccupate sul ritorno del typosquatting, sempre con gli sviluppatori nel mirino, è quella del malware diffuso attraverso pacchetti del linguaggio di programmazione Python. Questa volta si tratta di “hacker di Stato”, ovvero il gruppo nordcoreano “Lazarus”, letteralmente finanziato e sostenuto dal Governo della Corea del Nord. Il gruppo ha rilasciato quattro pacchetti dannosi nel repository “Python Package Index” (PyPI) con l’obiettivo di infettare i sistemi degli sviluppatori. I pacchetti si chiamano “pycryptoenv”, “pycryptoconf”, “quasarlib” e “swapmempool”, ma non contengono quello che uno sviluppatore si aspetta (pycrypto è un popolare pacchetto Python per la crittografia, quasar è un framework per sviluppare front-end). Secondo JPCERT, il primo gruppo di sicurezza informatica del Giappone, i pacchetti scoperti fanno parte di una campagna, descritta per la prima volta dalla società dagli esperti di Phylum (altra società di sicurezza informatica) nel novembre 2023, che utilizzava moduli npm (node package manager, cioè pacchetti di software autoinstallanti) a tema criptovaluta per distribuire malware Comebacker.

Da segnalare che alcuni domini oggetto di typosquatting, bonificati tramite azioni legali degli interessati e correzioni automatiche da parte di varie estensioni dei browser, sono ora tornate a distrarre i navigatori, attraverso il reindirizzamento verso finte pagine di testate registrate o trappole per indurre gli utenti a scaricare software malevolo. Ad esempio, il dominio yotube.com (non provate a digitarlo!) porta ora ad una destinazione casuale tra quelle citate, ma non viene segnalato dal browser come attività sospetta.

Related Post
Categories: Tech