Sorpresa per gli studenti: malware camuffati da temi e libri di testo

3 Set 2019

In numerose occasioni abbiamo scritto su quanto sia facile imbattersi inavvertitamente in contenuti indesiderati quando si provano a scaricare serie TV o trucchi per videogiochi. Tuttavia, i cybercriminali non si limitano solo ai contenuti di intrattenimento. È possibile imbattersi in un virus anche quando si cercano materiali di lavoro o di studio, e dato che siamo all’inizio dell’anno accademico, è molto importante tenerlo a mente. Ciò è dovuto al fatto che il prezzo dei libri di testo e di altri materiali per gli studenti di elementari, medie e universitari porta spesso a cercare soluzioni online più accessibili.

Scaricate un tema e riceverete in omaggio un malware

Abbiamo deciso di scoprire con quale frequenza si trovano contenuti dannosi tra i materiali disponibili gratuitamente. Abbiamo controllato quante infezioni hanno rilevato le soluzioni di Kaspersky nei file i cui nomi riguardano la scuola e gli studenti. Questo esercizio ha dato molti risultati!

A quanto pare, nell’ultimo anno accademico, i criminali informatici che hanno preso di mira il mondo dell’istruzione e hanno cercato di attaccare i nostri utenti più di 356 mila volte in totale. Di questi, 233 mila casi avevano a che fare con temi o saggi dannosi che sono stati scaricati su computer di proprietà di oltre 74 mila persone e che le nostre soluzioni sono riuscite a bloccare.

Circa un terzo di questi file erano libri di testo: abbiamo rilevato 122 mila attacchi di malware camuffati da libri di testo. Più di 30 mila utenti hanno cercato di aprire questi file.

I libri di testo in lingua inglese che nascondono malware sono i più popolari tra gli studenti di elementari e medie con 2.080 tentativi di download, seguiti dai libri di testo di matematica, che hanno quasi infettato i computer di 1.213 studenti. La letteratura occupa il terzo posto delle materie più pericolose, con 870 potenziali vittime.

I criminali si sono concentrati anche su materie meno popolari. Abbiamo trovato malware che si spacciavano per libri di testo di scienze naturali (18 utenti hanno cercato di scaricarli) e in lingue straniere il cui insegnamento è meno comune per studenti universitari e di elementari e medie.

Quali tipi di malware si diffondono sotto forma di libri di testo e saggi?

Se nella ricerca di materiali di studio si finisce su un sito web ambiguo e si tenta di scaricare qualcosa, si rischia di incontrare malware di ogni tipo. Tuttavia, alcuni tipi di minacce sono più frequenti di altri. Di seguito elenchiamo i quattro tipi di malware più comuni e che più di frequente si camuffano da materiali didattici.

4° posto: downloader dell’applicazione torrent MediaGet

I siti di libri di testo, disseminati dall’invitante pulsante “Download gratis”, spesso “regalano” all’utente il downloader MediaGet invece del documento che sta cercando. Questa è la più innocua delle sorprese che attendono gli studenti universitari o di elementari e medie in cerca di risorse per la loro istruzione. Grazie a questo riceverà un client torrent di cui non ha bisogno.

3° posto: downloader WinLNK.Agent.gen

I malware amano nascondersi nei file, poiché è più difficile rilevare una minaccia quando si trova all’interno di un file ZIP o RAR. Ad esempio, il downloader WinLNK.Agent.gen utilizza questa tecnica, ed è facile beccarlo quando si cercano libri di testo e altri materiali. Il file contiene un accesso diretto a un file di testo, che non solo apre il documento, ma lancia anche i componenti malware allegati.

Questi possono a loro volta, scaricare un’altra infezione sul dispositivo. In generale, si tratta di programmi di cripto-mining dannosi che realizzano mining di criptomonete per i loro utenti attraverso le risorse del vostro dispositivo. Di conseguenza, la velocità del computer e della connessione a Internet ne risentirà e la bolletta della luce salirà alle stelle. L’adware potrebbe anche inondarvi di offerte a cui non si può dire di no. Inoltre, questo malware può scaricare programmi ancora più pericolosi.

2° posto: downloader del malware Win32.Agent.ifdx

C’è un altro downloader che spesso assume le vesti di libri di testo o saggi apparentemente in formato DOC, DOCX o PDF. Anche se finge di essere un documento, in realtà è un programma. Inoltre, al suo avvio, apre anche un file di testo in modo che la vittima non sia consapevole del fatto che sta accadendo qualcosa di sospetto. Tuttavia, il suo compito principale è quello di scaricare tutti i tipi di contenuti dannosi sul computer della vittima.

Recentemente, questo tipo di malware ha mostrato la tendenza a scaricare vari cryptominer. Vale la pena ricordare che gli obiettivi dei creatori dei malware possono variare. Nulla impedisce loro di modificare il malware per scaricare spyware, Trojan bancari che rubano dati delle carte di credito e credenziali degli account nelle banche e negozi online o perfino ransomware al posto dei cryptominer.

1° posto: spam scolastico con il worm Stalk

È possibile infettarsi senza dover visitare siti ambigui. Gli spammer distribuiscono anche libri di testo e saggi dannosi. Questo è il metodo preferito con cui viene diffuso, ad esempio, il Worm.Win32 Stalk.a. Questo worm è in giro da un bel po’ di tempo e in precedenza avevamo pensato che fosse caduto in disuso. Con nostra sorpresa, non solo è ancora in uso attivamente, ma è anche il malware “educativo” con il maggior numero di vittime.

Una volta che si fa strada in un computer, Stalk penetra in tutti i dispositivi ad esso collegati. Ad esempio, può infettare altri computer della rete locale o una chiavetta USB contenente il materiale didattico. Questo è un passo molto dannoso, perché se si stampa il saggio utilizzando risorse scolastiche o universitarie tramite una chiavetta USB, il worm penetra nelle reti delle strutture educative coinvolte.

Tuttavia, per questo malware non è ancora sufficiente. Per infettare il maggior numero di sistemi possibile, cercherà di auto-inviarsi ai vostri contatti (spacciandosi per voi). Altri studenti come voi e i vostri compagni di classe probabilmente decideranno che il vostro messaggio è sicuro e apriranno l’applicazione dannosa allegata.

Naturalmente, Stalk è pericoloso non solo per la sua capacità di diffondersi in una rete locale e via e-mail. Il malware può scaricare altre applicazioni dannose sul dispositivo infetto e anche copiare furtivamente file dal computer per poi inviarli ai proprietari del malware.

Una delle ragioni principali per cui il worm Stalk è ancora in grado di diffondersi è che le istituzioni educative in generale, e i loro sistemi di stampa in particolare, spesso utilizzano versioni irrimediabilmente obsolete dei sistemi operativi e di altri software. Questo permette al worm di continuare a diffondersi.

Come proteggervi da “libri di testo” e “temi” dannosi

Come potete vedere, cercare materiali scolastici su Internet può portare a delle spiacevoli conseguenze. Per evitare queste infezioni:

  • Se è possibile, cercate i libri di cui avete bisogno nelle librerie fisiche o online;
  • Fate sempre attenzione al tipo di sito in cui si trova il libro che volete scaricare. Non visitate risorse ambigue piene di pulsanti tipo ‘Scarica’ o che richiedono l’installazione di un downloader;
  • Non utilizzate versioni non aggiornate di sistemi operativi e altri software. Assicuratevi di installare gli aggiornamenti software in modo tempestivo;
  • Siate critici nei confronti degli allegati di posta elettronica, compresi quelli inviati da conoscenti. Se un amico vi invia improvvisamente un saggio o un tema che non avete chiesto, allora questo è un buon motivo per sospettare;
  • Fate attenzione alle estensioni dei file che state scaricando. Se si scarica un file EXE invece di un documento, meglio non aprirlo;
  • Avvaletevi di una soluzione di sicurezza affidabile. Per esempio, Kaspersky Internet Security non solo riconosce le minacce descritte in questo articolo, ma anche molte altre ed eviterà che danneggino il vostro computer.