Negli ultimi tempi è emersa una nuova forma di attacco informatico che si distingue per la sua sofisticazione. L’attaccante crea versioni personalizzate e firmate di un noto strumento di accesso remoto legittimo (RAT) e le diffonde tramite siti web generati in massa con l’aiuto dell’intelligenza artificiale. Questi siti si presentano come pagine ufficiali di diverse applicazioni, ingannando così gli utenti.
Meccanismo dell’attacco
L’attaccante utilizza varie strategie per attirare le vittime, tra cui:
– Risultati di ricerca fuorvianti: i siti falsi sono progettati con URL simili a quelli delle app originali, così da comparire nelle ricerche Google e attrarre utenti ignari.
– Campagne di phishing via email: messaggi ingannevoli invitano a cliccare su link che conducono ai siti contraffatti, spingendo le vittime a scaricare file dannosi.
Un esempio tipico è una falsa comunicazione relativa a un portale di token digitali, che invita a richiedere credenziali tramite un sito fraudolento.
Tecniche di inganno
Gli attaccanti adoperano anche tattiche di scareware, mostrando falsi avvisi di sicurezza che spingono a scaricare presunti aggiornamenti o strumenti di protezione, i quali in realtà contengono malware.
Caratteristiche dei siti falsi
I siti creati risultano molto professionali e non sono semplici copie esatte degli originali, ma versioni molto convincenti che ne richiamano il design. L’utilizzo di un builder basato su intelligenza artificiale consente la produzione rapida e su larga scala di queste pagine fraudolente.
Utilizzo di Syncro come strumento di attacco
Il payload distribuito è sempre lo stesso: una versione modificata dello strumento di accesso remoto Syncro. Questo software, normalmente impiegato da team IT e fornitori di servizi, consente il controllo remoto dei dispositivi. Gli aggressori hanno creato build personalizzate con credenziali incorporate, che una volta installate offrono loro il pieno controllo del computer della vittima.
Pericoli e obiettivi
Dopo l’installazione, gli attaccanti possono compiere operazioni in background, come il furto di chiavi di portafogli di criptovalute e il trasferimento di fondi dai conti compromessi.
Come tutelarsi
Questa minaccia è particolarmente insidiosa per due motivi principali: la qualità professionale dei siti falsi e l’uso di un software legittimo per l’infezione, che rende difficile la rilevazione.
Si raccomanda di:
– Verificare sempre con attenzione l’URL dei siti visitati prima di scaricare file o inserire dati personali.
– Non scaricare applicazioni da fonti non affidabili, specialmente se si utilizzano servizi finanziari o di criptovalute.
– Prestare attenzione agli avvisi dei software di sicurezza, in particolare quelli che segnalano la presenza di strumenti di accesso remoto non autorizzati.
Chi dispone di protezioni avanzate può utilizzare funzionalità specifiche per rilevare e rimuovere software di controllo remoto sospetti, anche se legittimi come Syncro.
Seguendo queste precauzioni è possibile ridurre significativamente il rischio di cadere vittima di questo tipo di attacchi.
