Sfortunatamente, gli effetti collaterali di questo malware, chiamato Unfilter o Space Unfilter, sembrano consistere nel saccheggiare i dati dal computer della vittima, comprese le password di Discord, esponendo così indirettamente i contatti della vittima – come colleghi, amici e familiari – a spam e truffe da parte di criminali informatici che ora possono spacciarsi per persone conosciute. Come abbiamo già detto più volte su Naked Security, i criminali informatici amano le password dei social network e della messaggistica istantanea perché è molto più facile attirare nuove vittime attraverso un gruppo chiuso che truffare le persone utilizzando messaggi non richiesti su canali “aperti a tutti” come e-mail o SMS:
La truffa in questo caso sostiene di offrire un software in grado di annullare gli effetti del filtro Invisible di TikTok, che è un effetto visivo che funziona un po’ come lo schermo verde o il filtro di sfondo che tutti sembrano usare in questi giorni nelle chiamate Zoom, tranne che per il fatto che la parte dell’immagine che viene sfocata o resa semitrasparente o traslucida è l’utente stesso, anziché lo sfondo. Se vi mettete un lenzuolo in testa, ad esempio, come un archetipo di fantasma da fumetto, e poi vi muovete come un fantasma da fumetto (effetti sonori opzionali), la sagoma del “fantasma” sarà distinguibile, ma lo sfondo sarà ancora vagamente, anche se sfocato, visibile attraverso la sagoma del fantasma, creando un effetto divertente e intrigante. Sfortunatamente, l’idea di essere pseudo-invisibili ha portato alla cosiddetta “sfida dell’invisibilità di TikTok”, in cui gli utenti di TikTok sono sfidati a filmarsi dal vivo in vari stadi di svestizione, confidando che il filtro Invisible funzioni abbastanza bene da impedire che il loro corpo reale venga mostrato. Non fatelo. Dovrebbe essere ovvio che c’è poco da guadagnare se funziona, ma molto da perdere (e non solo la propria dignità) se qualcosa va storto. Come probabilmente potete immaginare, questo ha portato a squallidi post online che affermano di offrire un software in grado di invertire gli effetti del filtro Invisible dopo che un video è stato pubblicato, trasformando così presumibilmente video altrimenti innocenti in clip porno NSFW.
Questo sembra essere esattamente il percorso seguito dai criminali informatici nell’attacco descritto da Checkmarkx, in cui i truffatori:
- hanno promosso il loro presunto strumento “Unfilter” su TikTok. Gli utenti più sfacciati che volevano l’applicazione sono stati attirati su un server Discord per ottenerla.
- Hanno attirato gli utenti più arrapati nel loro gruppo Discord. L’esca avrebbe incluso la promessa di video già “non filtrati” per “dimostrare” il funzionamento del software.
- Attirava gli utenti a votare il progetto GitHub che ospitava il codice “senza filtro”. In questo modo il software appariva più rispettabile e affidabile rispetto a un progetto GitHub nuovo e sconosciuto.
- Convinceva gli utenti a scaricare e installare il progetto GitHub. Il file README del progetto (la documentazione ufficiale che appare quando si accede alla sua pagina GitHub) apparentemente includeva persino un link a un video di YouTube per spiegare il processo di installazione.
- Ha installato una serie di pacchetti Python correlati che hanno scaricato e lanciato il malware finale. Secondo Checkmarx, il malware era nascosto in pacchetti dall’aspetto legittimo, elencati come le cosiddette dipendenze della catena di fornitura necessarie per i presunti strumenti “unfilter”. Ma le versioni di tali dipendenze fornite dall’aggressore erano state modificate con una singola riga aggiuntiva di codice Python offuscato per ottenere il malware finale.
Il payload finale del malware, ovviamente, poteva essere modificato a piacimento dai truffatori semplicemente cambiando ciò che viene servito quando viene installato il progetto “unfilter” fasullo
Come accennato in precedenza, il malware individuato da Checkmarx sembra essere una variante di un “kit di strumenti” per il furto di dati, noto come WASP o W4SP, che viene diffuso tramite progetti GitHub avvelenati e che i criminali informatici in erba possono acquistare per soli 20 dollari.
Spesso gli attacchi alla catena di distribuzione basati su GitHub si basano su pacchetti dannosi con nomi facilmente confondibili con pacchetti noti e legittimi che gli sviluppatori potrebbero scaricare per errore; lo scopo dell’attacco è quindi quello di avvelenare uno o più computer di sviluppo all’interno di un’azienda, magari nella speranza di sovvertirne il processo di sviluppo. In questo modo, i criminali sperano di finire con un malware (magari un ceppo di malware completamente diverso) incorporato nelle versioni ufficiali del software creato da un’azienda legittima, in modo da indurre qualcun altro non solo a confezionare il proprio malware, ma in genere anche ad aggiungervi una firma digitale e forse anche a distribuirlo automaticamente nel prossimo aggiornamento del software dell’azienda. Ciò si traduce in un classico attacco alla catena di distribuzione, in cui si preleva innocentemente e intenzionalmente il malware da qualcuno di cui ci si fida già, invece di dover essere ingannati o convinti a scaricarlo da qualcuno o da un luogo di cui non si è mai sentito parlare prima. In questo attacco, tuttavia, i criminali sembravano prendere di mira tutti gli individui che installavano il falso codice “unfilter”, dato che un video su “come installare i pacchetti da GitHub” non sarebbe stato necessario per gli sviluppatori. Gli sviluppatori hanno già familiarità con l’uso di GitHub e con l’installazione di codice Python e potrebbero anche avere maggiori sospetti da un pacchetto che fa di tutto per affermare qualcosa che avrebbero considerato ovvio. Il malware scatenato in questo caso sembra essere stato concepito per attaccare ogni singola vittima, cercando direttamente dati preziosi come password di Discord, portafogli di criptovalute, dati di carte di pagamento memorizzati e altro ancora.
Cosa fare?
- Non scaricate e installate software solo perché qualcuno vi ha detto di farlo. In questo caso, i criminali dietro gli account GitHub (ora chiusi) che hanno creato i falsi pacchetti hanno usato i social media e i falsi upvotes per creare un’eco artificiale intorno ai loro pacchetti dannosi. Fate le vostre ricerche; non fidatevi ciecamente della parola di altre persone che non conoscete, non avete mai incontrato e non incontrerete mai.
- Non lasciatevi mai convincere a regalare like o upvote in anticipo. Nessuno di coloro che hanno installato questo pacchetto di malware lo avrebbe mai votato in seguito, dato che l’intera faccenda si è rivelata un mucchio di bugie.
- Dando la vostra approvazione implicita a un progetto GitHub senza saperne nulla, mettete a rischio gli altri, consentendo a pacchetti dannosi di acquisire quella che sembra l’approvazione della comunità, un risultato che i truffatori non potrebbero facilmente ottenere da soli.
Ricordate che un software altrimenti legittimo può essere vittima di trappole esplosive attraverso il suo programma di installazione. - Ciò significa che il software che si pensa di installare potrebbe essere presente e apparentemente corretto alla fine del processo. Ciò può indurre un falso senso di sicurezza, con il malware impiantato come effetto collaterale segreto del processo di installazione stesso, invece di comparire nel software effettivamente installato. (Questo significa anche che il malware rimarrà anche se si disinstallano completamente i componenti legittimi, che quindi fungono da copertura per l’attacco). Un danno a uno è un danno a tutti.
- Non aspettatevi molta compassione se i vostri dati vengono rubati perché stavate cercando un’applicazione dall’aspetto squallido che speravate potesse trasformare innocui video in involontari filmati porno. Ma non aspettatevi alcuna compassione se la vostra imprudenza porta anche i vostri colleghi, amici e familiari a essere colpiti da spammer e truffatori presi di mira da criminali che sono entrati in possesso delle vostre password di messaggistica o di social network in questo modo.
