Dark Web: credenziali di dirigenti in vendita a più di 1000 dollari

29 Novembre 2020 Gabriele La Greca

Conosciamo tutti il Dark Web sopratuttto per la nomina di “mercato nero” dove troviamo in vendita di tutto e di più. Non è da meno la notizia che sta circolando nelle ultime ore, che vede la presenza di un forum “nascosto”, e riservato prevelentamente a hacker russi, dove è in atto una rivendita di credenziali sul DarkWeb di accesso di account Office 365 e Microsoft che sarebbero di proprietà di figure dirigenziali di alto livello di svariate aziende in tutto il mondo.

A diffondere la notizia è stato una figura che ha accesso a questo materiale, e che ha provato ad acquistare un paio di coppie di username/password per verificarne l’autenticità. Senza troppa sorpresa, esse sono legittime e appartengono al CEO di una software house statunitense e a un CTO di un’azienda europea.

dark web credenziali

Credenziali in vendita sul Dark Web: i prezzi arriverebbero anche a 1500 dollari

Purtroppo, com’è spesso sovente in questi casi, non si conosce l’identità del venditore (o dei venditori). Non si sa nemmeno in che modo siano state recuperate le credenziali, ma a quanto pare sono state ottenute grazie a dei computer infettati da un trojan identificato come AzorUlt.

Com’è facilmente immaginabile, sul forum del Dark Web, le credenziali di dirigenti sono importantissime perchè danno la possibilità ai malintenzionati di poter attaccare “dall’interno” un’azienda, spacciandosi per il dirigente sotto attacco. Possono quindi così con estrema facilità diffondere altri virus o manomettere processi aziendali.

dark web credenziali

Credenziali sul DarkWeb grazie a AzorUlt: un po’ di informazioni sul trojan

Per chi non lo sapesse, attualmente il malware Aorult risulta essere uno dei trojan più acquistati e venduti sulle Darknet russe. Sicuramente, uno dei motivi del suo successo è il costo davvero irrisorio (parliamo di circa 100 dollari), ma soprattutto per la sua ampia versatilità di utilizzo, per non parlare delle sue elevate prestazioni.

Tra le sue feature che lo contraddistingono, si annovera quella di offire la possibilità di poter essere adoperato come “downloader” di altri malware. E non si tratta di un trojan così lontano da noi: solo nel primo trimestre del 2019, infatti, il numero di utenti italiani colpiti da questo trojan, la cui firma virale è stata identificata con Trojan-PSW.Win32.Azorult, ammontava a più di 2000.

Credits: https://securelist.com/

La campagna malevola sarebbe iniziata con la comparsa di un nuovo dominio, un certo protonvpn_dot_store, che riporta semplicemente ad un finto sito Web, il clone di un noto servizio di VPN. La clonazione sembrerebbe essere avvenuta mediante un noto crawler open source HTTrack, clonazione avvenuta per richiamare in tutto e per tutto l’home page di ProtonVPN.

Il malcapitato che, grazie a campagne di spamming e malvertising, veniva reindirizzato a questo sito, scaricava un’installer modificato del servizio VPN che conteneva anche eseguibile utile all’attivazione di AzorUlt, e inserire così il nuovo computer infetto alla botnet criminale collegata al trojan.

Dopo l’installazione e attivazione, il trojan è pronto a rubare tutti i dati che può. Inizia quindi a raccogliere tutte le informazioni riservate dell’utente, e a trasmetterle al server di comando e controllo (C&C Server), in ascolto in un sotto dominio del sito principale account_dot_protonvpn_dot_store, così da eludere possibili dubbi sulla veridicità del software.