Commenti a "Attento, c'è un virus in quel contratto di lavoro! Storia di come stavo per essere hackerato con un .zip .do

[Zane]

Attento, c'è un virus in quel contratto di lavoro! Storia di come stavo per essere hackerato con un .zip .doc .scr (video)



La settimana scorsa sono stato contatto per una apparente opportunità lavorativa, per iniziale la quale avrei dovuto firmare un contratto. Ma mi sono reso conto di cosa stesse realmente accadendo appena in tempo: il file che avrei dovuto firmare conteneva un malware, che avrebbe consentito al criminale di ottenere pieno controllo del mio PC, accesso a tutti i file, alla mail e agli account web. In questo video-articolo racconto la mia storia, nella speranza che possa essere utile ad altri e prevenire raggiri simili [continua..]

Inserite di seguito i vostri commenti.

[ctsvevo]

Bellissimo questo tuo articolo, Zane!
Completo, spiegato nei dettagli (non ho voglia di vedere il video, gradisco più leggere l'articolo), truffa analizzata con molta cura.
Mi ha incuriosito molto anche per un altro motivo: il 13 maggio ho ricevuto una mail simile (forse il gioco citato era diverso) ma due cose mi hanno subito insospettito.
1) Il mio Thunderbird mi segnalava con la sua solita banda rossa che il messaggio potrebbe essere un tentativo di truffa;
2) Io non gioco con questi prodotti, lo ha fatto un mio parente al quale ho "prestato" un mio indirizzo email di battaglia e che certo non ha interesse a pubblicare articoli (anche se fa il moderatore senior nelle sessioni di un grosso gioco online).
Ho immediatamente cancellato tutto, mi spiace non potervi sottoporre uno screenshot del messaggio.
Comunque il truffatore ha concepito davvero bene il tutto, se non fosse stato per un paio di sbavature ti avrebbe fregato, secondo me.

Due considerazioni, una personale se mi permetti: mi dispiace per le tue dita, credimi, ne so qualcosa (e sono stato incolpevole di questo mio danno). Secondo: trovare un contatto valido di certe aziende è una vera illusione. Quando si valutano le offerte di un nuovo provider Internet c'è qualcuno oltre me che prova, prima di firmare, a vedere se esiste un contatto telefonico immediato che risponde per davvero? A suo tempo non avrei mai firmato il contratto con l'evanescente Tiscali... Alla larga!

[leofelix]

Anche io ho letto e riletto con molto interesse questo articolo (p.s è ripetuto "quale" due volte nelle prime righe. Non vorrei passare da nazi grammar, ma solo segnalare un refuso).
A onor del vero io penso che hai capito subito che qualcuno stava tentando di truffarti, poi ti sei divertito a giocare come il gatto con il topo per vedere dove voleva andare a parare et voilà ne è uscito un piccolo capolavoro che dovrebbero leggere tutti, anche i più esperti.
Già il fatto che Vlad ti abbia contattato con un indirizzo gratuito è un campanello d'allarme.

In quanto alla mancata rilevazione di Microsoft Defender, chissà che se avessi eseguito il file non lo avrebbe poi bloccato.
Che io ricordi, anche gli antivirus saltano la scansione di file troppo grossi, alcuni si limitano alla superficie evitando di analizzare il contenuto.
In quanto a Malwarebytes non sono sicuro se analizzi certi file, bisogna che io glielo vada a chiedere nel loro forum.
Ormai saranno esasperati dalle mie richieste
Pensare che anni fa mi offersero di lavorare per loro, non scherzo, devono avermi scambiato per un informatico quando invece sono solo un appassionato e le mie competenze sono ben diverse.



Be' ancora complimenti

[CUB3]

Articolo molto utile!!

Dal quale si possono ricavare almeno 2 imporanti insegnamenti:

- non so se è il caso di Zane ma comunque condividere meno informazioni possibili online, anche se possono sembrare stupidaggini, perché ogni piccolo bit di informazione può essere utilizzato per rendere credibile una truffa;
- diffidare delle offerte troppo belle e rimarere sempre all'erta, cercando di non agire in preda alle emozioni, fulcro sul quale i truffatori fanno leva.

Ad aver tempo, sarebbe stato molto interessante provare un "hack back"!!

[Zane]

@ctsvevo: grazie per il feedback! La frase era:

Anzi: le circostanze in cui non ci siano state contrattazioni per cercare di abbassare il prezzo della mia prestazione si contano sulle dita di una mano... che ha perso due dita in un incidente.

Le mie dita stanno bene, grazie per il pensiero. Quello che avevo scritto una perifrasi per intendere che le circostanze sono "ancora meno delle dita di una mano", ma rileggendola ora capisco che possa essere fraintesa. L'ho rimosso.


@leofelix: sai che anch'io sono un nazi grammar, quindi se mi segnali qualcosa mi fa piacere. Però non ho trovato l'errore che citi: riesci a correggermelo direttamente tu sull'articolo per favore?

Molto corrette le tue osservazioni sugli antivirus! Non avevo pensato allo scenario, altamente probabile!, che le dimensioni possano essere state gonfiate anche per evitare il controllo degli antivirus! Bella trovata! Se da Malwarebytes ti rispondono, fammi sapere!


@CUB3: ottime raccomandazioni! Io purtroppo condivido abbastanza info online, ma fra questo sito, il canale YouTube in cui ci metto la faccia (letteralmente) e la presenza Linkedin sono praticamente obbligato. Bella l'idea dell'hack back: in particolare avevo pensato per un attimo di fare un honeypot e aprire il trojan lì, per vedere chi si collegava e magari mettergli un bel "bank_connection.exe" sul desktop, ma è già un miracolo che sia riuscito a trovare il tempo di scrivere l'articolo e fare il video.....

[crazy.cat]

@leofelix: sai che anch'io sono un nazi grammar, quindi se mi segnali qualcosa mi fa piacere. Però non ho trovato l'errore che citi: riesci a correggermelo direttamente tu sull'articolo per favore?

Passavo da queste parti e avevo già corretto io

[Zane]

Grande, grazie Cat! ♥

[cippico]

letta tutta d'un fiato...e chi si perde un racconto dove qualcuno cerca di fregare proprio Zane...
comunque é molto istruttivo... fa capire bene anche su cosa possono far leva per fregare le sfortunate vittime...

parentesi nazi grammar...e questo...a inizio articolo...

altra premonizione dei simpson...Ucraina/russia e malattia dalle scimmie

grazie e complimenti per il racconto...e per non esserci cascato ...

ma...se fosse andata male...cosa pensi sarebbe successo...e lo avresti snocciolato nel forum?
avresti rischiato la gogna

oppure



ciaooo a tutti

[Zane]

grazie @cippico! Se fosse andata male, sarei stato nella "melma" fin sopra i capelli.... e avrei chiesto aiuto qui sul forum

[leofelix]

@leofelix:

Molto corrette le tue osservazioni sugli antivirus! Non avevo pensato allo scenario, altamente probabile!, che le dimensioni possano essere state gonfiate anche per evitare il controllo degli antivirus! Bella trovata! Se da Malwarebytes ti rispondono, fammi sapere!

Grazie, Zane.
Non ho ancora chiesto e forse non glielo chiedo nemmeno.
Ricordo che nelle prime versioni non effettuavano nè la scansione del file compressi *.zip, nei dei documenti MS Office.
Per la scansione dei files compressi chiesi come mai non inserivano tale opzione, dopo qualche tempo fu aggiunta.

All'epoca il prodotto era da considerarsi un complemento dell'antivirus residente ed era più focalizzato verso la piaga di quei tempi: I rogue antispyware.
Da che hanno aggiunto anche un anti-exploit e un anti-ransomware, posso solo supporre che per i documenti MS Office facciano affidamento al loro anti-exploit (disponibile ormai gratuitamente in fase beta, stand alone, ma non utilizzabile da chi ha Malwarebytes, anche nella versione free).

Per i file *.scr, mi sa l'ho detta grossa, dovrebbero essere rilevati.

Qualche anno fa comprai anche delle licenze a vita del loro prodotto, ma è ormai svanito dalle mie macchine. Dalla v 4 ho notato che rallenta il sistema, la protezione web non è a mio avviso il massimo per tacere dei falsi positivi e del tasso di rilevazione.
Allora a questo punto per fare scansioni su richiesta (come seconda opinione) preferisco strumenti come Hitman Pro, ESET online scanner ed Emsisoft Emergency Toolkit, almeno non rischio BSOD

[CUB3]

Io purtroppo condivido abbastanza info online, ma fra questo sito, il canale YouTube in cui ci metto la faccia (letteralmente) e la presenza Linkedin sono praticamente obbligato.

Ormai sei un famoso influencer!!

avevo pensato per un attimo di fare un honeypot e aprire il trojan lì, per vedere chi si collegava e magari mettergli un bel "bank_connection.exe" sul desktop

Peccato davvero peché sarebbe stato proprio interessante!!

[cippico]

grazie @cippico! Se fosse andata male, sarei stato nella "melma" fin sopra i capelli.... e avrei chiesto aiuto qui sul forum

[cjamango]

Articolo molto interessante, ma se si apre un file infetto con Sandboxie o con VirtualBox, si corrono comunque dei rischi, oppure nel PC non rimane nessuna modifica?
Colgo l'occasione per ricordare che oltre a VirusTotal ci sono anche questi servizi gratuiti per analizzare i file sospetti:
Hybrid Analysis e Browserling .

[leofelix]

Articolo molto interessante, ma se si apre un file infetto con Sandboxie o con VirtualBox, si corrono comunque dei rischi, oppure nel PC non rimane nessuna modifica?

I rischi si corrono sempre, qualsiasi software può essere sfruttato per veicolare infezioni.
Nel caso di sandboxie, se esegui un keylogger o un infostealer potresti involontariamente inviare a terzi dati sensibili prima di svuotare la sandbox e annullare eventuali modifiche.
Anche Virtualbox non è immune, ci sono comunque possibilità di infettare la macchina che l'ospita.

[edit to add]
dimenticavo che in ogni caso esiste moltissimo malware in grado di riconoscere se si usa una sandbox o una virtual machine, in quel caso il malware non si esegue o se si esegue non causa alcun danno

Colgo l'occasione per ricordare che oltre a VirusTotal ci sono anche questi servizi gratuiti per analizzare i file sospetti:
Hybrid Analysis e Browserling .

Ecco, dimenticavo anche di ringraziarti per queste segnalazioni.
Il primo lo conoscevo, il secondo no. Ho dato una rapida occhiata e Browseling serve a simulare la navigazione su un sito sospetto. La versione gratuita dura 3 minuti e ti fa simulare solo Internet Explorer 11 in ambiente Windows 7.

Io talvolta uso https://app.any.run/ per analizzare files sospetti, tuttavia nella versione gratuita ci sono dei limiti, puoi solo analizzare file a 32 bit e simulare Windows 7

[CUB3]

[edit to add][/b]
dimenticavo che in ogni caso esiste moltissimo malware in grado di riconoscere se si usa una sandbox o una virtual machine, in quel caso il malware non si esegue o se si esegue non causa alcun danno

Aggiunta molto importante!! Non affidatevi mai a questi sistemi per "provare" un malware! Anche perché alcuni malware potrebbe riuscire a superare la protezione offerta da questi software!!

[speedyant]

A questo punto, potrebbe essere addirittura il "futuro", tutto in sandbox e macchine virtuali, che girano su macchine virtuali che... Ok, più seriamente, interessante che alcuni malware capiscano di essere su hardware "strano" e cerchino di "fare i bravi".

[DMJ]

Le aziende che non rispondono alle email sono patetiche.
Piuttosto evitino di pubblicare l'indirizzo email, se non sono in grado o non intendono rispondere.

[ctsvevo]

Lavoro in un'azienda patetica ma concordo... Manca il personale e non sempre si riesce a rispondere a tutti, 24 ore su 24.
Il problema è quello: tutti i datori di lavoro non dedicano mai una parte del personale ben formato a rispondere alle email. Risponde di solito il malcapitato di turno.

[drilloman]

@CUB3: Bella l'idea dell'hack back: in particolare avevo pensato per un attimo di fare un honeypot e aprire il trojan lì, per vedere chi si collegava e magari mettergli un bel "bank_connection.exe" sul desktop, ma è già un miracolo che sia riuscito a trovare il tempo di scrivere l'articolo e fare il video.....

Saresti disposto a condividerlo per vedere cosa combina?

[Zane]

@drilloman Ecco a te: (!!! ATTENZIONE !!! CONTIENE VIRUS!) malware di Vlad

Per motivi di sicurezza aggiuntiva, ho ri-zippato il .zip che mi ha mandato Vlad. Questo primo .zip esterno che ho creato io ha password TurboLab.it (scritto esattamente così, con maiuscole e minuscole).

Il file che si estrae da lì è l'effettivo .zip che mi ha mandato Vlad. La sua password è HFDF-GA2G-DEFH (scritto esattamente così, tutto maiuscolo).

Il file che si estrae dal secondo zip è il malware (.scr) vero e proprio

Per tutti (in caso non fosse sufficientemente chiaro): il file contiene un virus. Lo condivido solo per consentire agli utenti ultra-esperti di analizzarlo. Sconsiglio caldamente a chi non sia abituato a lavorare con queste cose di aprirlo. NON RISPONDO DEI DANNI CAUSATI

[leofelix]

@drilloman Ecco a te: (!!! ATTENZIONE !!! CONTIENE VIRUS!)

Gaudio.
Ho scaricato il file in una zona isolata da Sandboxie, estratto il dile *.scr, ho provato prima a caricarlo su app.any.run quindi su hhybrid-analysis.com ma ahimè eccede le dimensioni consentite.
Microsoft Defender non ha battuto ciglio, su Virutotal sono aumentate le rilevazioni (ma ho notato che non sempre corrispondono a quelle reali).
Ho effettuato due scansioni (di cui una personalizzata) con Emsisoft Emergency toolkit, ma niente, non lo ha visto.
Anche F-Secure Online scanner ha fallito miseramente (a sua discolpa va detto che analizza solo le aree più importanti del sistema e non ha "pensato" alla zona isolata di Sandboxie).
Ho allora effettuato una scansione personalizzata con Eset online scanner che ha disintegrato il file *.scr, qui il rapporto

05/06/2022 23:33:01
File controllati: 399
File rilevati: 1
File puliti: 1
Tempo di controllo totale 00:02:48
Stato controllo: Terminato
C:\Sandbox\user\DefaultBox\user\current\Downloads\STEPN NFT Business-contract YouTube Promotion Microsoft Word(PC Format).docx..scr una variante di Win32/Injector.ERQQ trojan horse pulito tramite eliminazione

.

Non mi è passato nemmeno per l'anticamera del cervello di inviarlo alla Microsoft, prima bisogna collegarsi al sito, quindi proteggere con altra password il file e per caricarlo devi concedere dei permessi al tuo account di accedere a Microsoft Defender (o viceversa), col rischio di cliccarci sopra distrattamente e giocarmi sistema, password, PIN etc etc.

Sarei tentato di inviarlo anche alla Malwarebytes, ma sono necessari tremila permessi oltre ad avere obbligatoriamente una Virtual Machine installata e il loro antimalware.

[leofelix]

al tempo, per ragioni a me ignote Emsisoft lo ha rilevato solo quando l'ho messo in quarantena per poterlo inviare per l'analisi, durante la scansione invece non si era accorto di niente

Mi sembrava strano visto che Bitdefender lo rileva con lo stesso nome

[drilloman]

Grazie Zane, ho scaricato, puoi cancellare se vuoi per motivi di sicurezza mai sia qualcuno un domani incappa senza volerlo.
Vi faccio sapere quanto male mi farà

[speedyant]

Qualcuno ha provato a gestirlo da un Linux?