Conosciamo tutti il Dark Web sopratuttto per la nomina di “mercato nero” dove troviamo in vendita di tutto e di più. Non è da meno la notizia che sta circolando nelle ultime ore, che vede la presenza di un forum “nascosto”, e riservato prevelentamente a hacker russi, dove è in atto una rivendita di credenziali sul DarkWeb di accesso di account Office 365 e Microsoft che sarebbero di proprietà di figure dirigenziali di alto livello di svariate aziende in tutto il mondo.
A diffondere la notizia è stato una figura che ha accesso a questo materiale, e che ha provato ad acquistare un paio di coppie di username/password per verificarne l’autenticità. Senza troppa sorpresa, esse sono legittime e appartengono al CEO di una software house statunitense e a un CTO di un’azienda europea.
Purtroppo, com’è spesso sovente in questi casi, non si conosce l’identità del venditore (o dei venditori). Non si sa nemmeno in che modo siano state recuperate le credenziali, ma a quanto pare sono state ottenute grazie a dei computer infettati da un trojan identificato come AzorUlt.
Com’è facilmente immaginabile, sul forum del Dark Web, le credenziali di dirigenti sono importantissime perchè danno la possibilità ai malintenzionati di poter attaccare “dall’interno” un’azienda, spacciandosi per il dirigente sotto attacco. Possono quindi così con estrema facilità diffondere altri virus o manomettere processi aziendali.
Per chi non lo sapesse, attualmente il malware Aorult risulta essere uno dei trojan più acquistati e venduti sulle Darknet russe. Sicuramente, uno dei motivi del suo successo è il costo davvero irrisorio (parliamo di circa 100 dollari), ma soprattutto per la sua ampia versatilità di utilizzo, per non parlare delle sue elevate prestazioni.
Tra le sue feature che lo contraddistingono, si annovera quella di offire la possibilità di poter essere adoperato come “downloader” di altri malware. E non si tratta di un trojan così lontano da noi: solo nel primo trimestre del 2019, infatti, il numero di utenti italiani colpiti da questo trojan, la cui firma virale è stata identificata con Trojan-PSW.Win32.Azorult, ammontava a più di 2000.
La campagna malevola sarebbe iniziata con la comparsa di un nuovo dominio, un certo protonvpn_dot_store, che riporta semplicemente ad un finto sito Web, il clone di un noto servizio di VPN. La clonazione sembrerebbe essere avvenuta mediante un noto crawler open source HTTrack, clonazione avvenuta per richiamare in tutto e per tutto l’home page di ProtonVPN.
Il malcapitato che, grazie a campagne di spamming e malvertising, veniva reindirizzato a questo sito, scaricava un’installer modificato del servizio VPN che conteneva anche eseguibile utile all’attivazione di AzorUlt, e inserire così il nuovo computer infetto alla botnet criminale collegata al trojan.
Dopo l’installazione e attivazione, il trojan è pronto a rubare tutti i dati che può. Inizia quindi a raccogliere tutte le informazioni riservate dell’utente, e a trasmetterle al server di comando e controllo (C&C Server), in ascolto in un sotto dominio del sito principale account_dot_protonvpn_dot_store, così da eludere possibili dubbi sulla veridicità del software.