C’è chi riesce a nascondere un keylogger in una Jpeg per rubare dati personali o per registrare dalla webcam quello che facciamo in casa
Ci risiamo. I pirati se ne sono inventata un’altra delle loro per invadere i nostri PC e spiarci dalla Webcam, scovare ogni password che digitiamo sulla tastiera e spulciare fra i nostri file. E non siamo di fronte al solito virus che solo gli utenti più sprovveduti possono beccare: qui non si tratta di una “classica” e-mail di phishing contenente un link malevolo e neppure di uno strano file che fa intuire un potenziale pericolo. Questa volta siamo di fronte ad una semplice immagine. Sì, proprio così. I pirati hanno trovato il metodo di nascondere un virus dentro quella che, almeno apparentemente, sembra una banalissima JPEG. Un doppio clic sull’anteprima dell’immagine di un gattino, di una bella donna sexy o di un’automobile da urlo potrebbe costarci davvero caro!
Sembra un’immagine
Anche se all’apparenza sembra di ritrovarsi di fronte ad una comunissima immagine, magari anche divertente (perché, ovviamente, l’obiettivo del pirata è quello di indurci al doppio clic) siamo di fronte ad un file eseguibile che andrà a compiere azioni malevoli sul nostro sistema operativo. In particolare, creerà un canale di comunicazione fra il nostro PC e quello del pirata che ne assumerà il pieno controllo attivando da remoto la Webcam, installando un keylogger o facendo incetta dei nostri file più importanti. Per sferrare il suo attacco, il pirata si affida a Kali Linux, un sistema operativo già corredato di tutti i tool necessari a testare la sicurezza di computer e dispositivi di ogni genere. E la facilità con la quale può portare a termine la sua opera è davvero disarmante: al pirata basta scegliere un paio di opzioni, l’immagine da usare e attendere che qualche “pesce” abbocchi alla sua esca. In questa nuova avventura abbiamo deciso di analizzare a fondo le mosse del pirata operando in una rete locale, ma la procedura è identica allargando il discorso al Web. Perché, si sa, conoscere il nemico è l’unica arma di difesa che abbiamo a disposizione.
II pirata scarica dal Web Kali Linux e il software gratuito Unetbootin. Avvia quest’ultimo e clicca sul pulsante Sfoglia in corrispondenza di Immagine iso per caricare la ISO della distro: la seleziona e conferma con Apri. Collegata una pendrive da almeno 4 GB al suo PC, il pirata si sposta in Unità e la seleziona.
Clicca OKe attende che sulla pendrive venga installata la distribuzione Linux. Il pirata riavvia quindi il PC (di solito ne usa uno secondario perché più avanti avrà la necessità di usare Windows senza uscire da Kali Linux) e, dopo aver effettuato l’accesso al BIOS, configura il boot dalla pendrive USB.
Salvate le modifiche e riavviato il computer dalla chiavetta USB, il pirata si ritrova di fronte l’interfaccia testuale di Kali Linux. Tutto quello che deve fare è premere Invio in corrispondenza della riga Live (amd64): dopo pochi secondi, il suo ambiente di distruzione verrà caricato e sarà pronto all’uso.
L’ambiente desktop di Kali Linux è abbastanza semplice e intuitivo. Dopo aver cliccato sul menu Applicazioni (in alto a sinistra dell’interfaccia principale) ed essersi spostato nella sezione Social Engineering Tools, il pirata avvia il software SET (acronimo di Social Engineering Tools).
Nella finestra che appare a schermo, il pirata preme dapprima Invio e, successivamente 1, seguito da Invio, per selezionare l’opzione Social Engineering Attacks. Si ritrova di fronte ad un altro menu nel quale effettuare una scelta: preme 9 (Powershell Attack Vectors) e conferma con Invio.
Infine, il pirata deve decidere quale tipologia di attacco sferrare nei confronti della sua vittima designata. Per essere sicuro di ottenere un controllo completo del computer attaccato, il pirata sceglie l’opzione 1 (Powershell Alphanumenc Shellcode Injec-tor) e conferma con Invio.
Il pirata dovrà conoscere l’indirizzo IP della macchina attaccante. Per farlo cliccherà su File e seleziona Apri terminale. Nella nuova finestra digita ifconfig seguito da Invio: l’indirizzo IP appare accanto al testo inet. Lo incolla nella finestra di SET e conferma con Invio.
SET chiede al pirata di settare una porta da utilizzare per comunicare con il PC attaccato non appena verrà stabilita una connessione (ovvero, quando l’ignara vittima avrà aperto la finta immagine). Il pirata setta la porta che preferisce (ad esempio la 4444) e confermare con Invio.
Il software crea automaticamente tutto il necessario: il pirata non deve fare altro che restare a guardare il monitor. Al messaggio Do you wantto startthe listenernow risponde no e conferma ancora con Invio. Il pirata può ora concentrarsi sulla finta immagine da inviare alla vittima.
II pirata avvia una nuova finestra del terminale di Kali Linux, lancia il comando mv/root/.set/reports/powershell/x86_ powershell_injection.txt/var/www/html/payload.txte conferma con Invio. Il payload è ora stato spostato sul Web server di modo che sia accessibile anche agli altri PC.
Il Web pullula di immagini divertenti: più sarà curiosa l’immagine utilizzata dal pirata, maggiori saranno le probabilità che il malcapitato deciderà di cliccarci sopra due volte per vederla ingrandita! Il pirata raggiunge dunque Google Immagini e sceglie la foto che ritiene più opportuna.
Può procedere ora al salvataggio dell’immagine che ritiene più adatta al suo malevolo scopo. La seleziona quindi col tasto destro del mouse, clicca Salva immagine con nome e nella finestra che appare raggiunge il percorso /var/www/html/. Quindi nomina l’immagine come screenshot.jpg.
A questo punto, tutto è pronto per avviare il Web server locale (presente di default e già configurato in Kali Linux) e rendere accessibile il suo contenuto anche via rete agli altri PC. Il pirata avvia il terminale e da qui digita service apache2 start seguito dal tasto Invio.