Attivazione falsa<\/h2>\n
Dopo aver scaricato un\u2019immagine del disco che presumibilmente contiene l\u2019app crackata, alla vittima viene richiesto di copiare due file nella cartella Applicazioni: l\u2019app stessa e un cosiddetto \u201cprogramma di attivazione\u201d. Se ci si limita a copiare e avviare l\u2019app, questa non verr\u00e0 eseguita. Secondo il manuale, l\u2019app crackata deve prima essere \u201cattivata\u201d. La nostra analisi ha rilevato che il programma di attivazione non esegue operazioni particolarmente sofisticate: rimuove semplicemente alcuni byte dall\u2019inizio del file eseguibile dell\u2019applicazione per renderla funzionante. In altre parole, i criminali informatici hanno modificato un\u2019app precedentemente crackata in modo da impedirne l\u2019esecuzione, a meno che non venga prima \u201cattivata\u201d. Non sorprende che il programma di attivazione abbia uno spiacevole effetto collaterale: quando viene eseguito, richiede i permessi di amministratore e li utilizza per installare nel sistema uno script di download. Lo script scarica quindi dal Web una backdoor<\/a> che di tanto in tanto richiede alcuni comandi ai propri operatori.<\/p>\n Manuale di installazione, finestra di attivazione e richiesta della password dell\u2019amministratore<\/p><\/div>\n Per scaricare lo script dannoso, il programma di attivazione utilizza uno strumento dal nome esotico e innocente: il DNS (Domain Name System). Abbiamo gi\u00e0 parlato di DNS e Secure DNS<\/a>, ma avevamo tralasciato un\u2019interessante caratteristica tecnica di questo servizio. Oltre a collegare il nome Internet di un server al relativo indirizzo IP, ogni record DNS pu\u00f2 anche contenere una descrizione testuale del server, denominata record TXT. Questo \u00e8 il punto debole: i criminali sfruttano i record TXT incorporandovi frammenti di codice dannoso. Il programma di attivazione scarica tre record TXT appartenenti a un dominio dannoso e li utilizza per assemblare uno script.<\/p>\n Sebbene apparentemente complicata, questa configurazione presenta numerosi vantaggi per i malintenzionati. Per cominciare, il programma di attivazione non esegue operazioni particolarmente sospette: qualunque applicazione Web richiede i record DNS. Di fatto, \u00e8 cos\u00ec che inizia qualsiasi sessione di comunicazione. In secondo luogo, modificando i record TXT del dominio i criminali possono facilmente aggiornare lo script per modificare lo schema dell\u2019infezione e il risultato finale. Infine, a causa della natura distribuita del Domain Name System, rimuovere i contenuti dannosi dal Web non \u00e8 semplice. Per provider di servizi Internet e aziende \u00e8 difficile persino rilevare la violazione dei propri criteri, poich\u00e9 ciascuno di questi record TXT \u00e8 solo un frammento di codice dannoso e di per s\u00e9 non rappresenta una minaccia.<\/p>\n L\u2019esecuzione periodica dello script di download consente ai criminali di aggiornare il contenuto dannoso e di eseguire sul computer delle vittime le operazioni che vogliono. Al momento della nostra analisi, erano interessati al furto di criptovaluta. La backdoor esegue automaticamente la scansione del computer della vittima alla ricerca di wallet Exodus e Bitcoin e li sostituisce con versioni trojanizzate. La versione infetta del portafoglio Exodus ruba la seed phrase dell\u2019utente, mentre quella del portafoglio Bitcoin gli sottrae la chiave di criptaggio utilizzata per criptare le chiavi private. In questo modo, i cybercriminali possono eseguire e firmare trasferimenti di valuta per conto della vittima. Cos\u00ec, con la speranza di risparmiare qualche decina di euro grazie alle app piratate, si finisce per perdere una somma molto pi\u00f9 ingente in criptovaluta.<\/p>\n Un consiglio sempre valido: per stare alla larga da questa e altre minacce, scarica le app solo dai marketplace ufficiali. Prima di scaricare un\u2019app dal sito Web di uno sviluppatore, assicurati che si tratti dell\u2019originale e non di uno dei tanti siti di phishing<\/a>.<\/p>\n Se stai pensando di scaricare la versione crackata di un\u2019app, ripensaci. I siti di pirateria \u201cscrupolosi e affidabili\u201d sono rari come gli elfi e gli unicorni.<\/p>\n Anche se sei un fanatico di alfabetizzazione informatica, cautela e attenzione ai dettagli, assicurati di utilizzare una protezione completa in tutti i tuoi dispositivi: telefoni, tablet e computer. Kaspersky Premium<\/a>, ad esempio, \u00e8 un\u2019ottima soluzione multipiattaforma. Verifica che tutte le funzionalit\u00e0 di protezione di base e avanzate<\/a> siano abilitate. Se possiedi uno o pi\u00f9 portafogli in criptovaluta, oltre a quanto detto sopra ti consigliamo di leggere le nostre istruzioni dettagliate sulla protezione dei portafogli in criptovaluta, sia che si tratti di hot wallet<\/a> che di cold wallet<\/a>.<\/p>\n\n","protected":false},"excerpt":{"rendered":" Ottieni quello per cui paghi: le app per macOS crackate recuperano codice dannoso dai record DNS per rubare criptovalute<\/p>\n","protected":false},"author":2749,"featured_media":28512,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2641],"tags":[820,50,1415,3036,2294,3217,2345,638,3797,67],"class_list":{"0":"post-28510","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-bitcoin","9":"tag-consigli-2","10":"tag-criptovaluta","11":"tag-criptovalute","12":"tag-dns","13":"tag-exodus","14":"tag-macos","15":"tag-minacce","16":"tag-osx","17":"tag-suggerimenti"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/fake-macos-activator-steals-bitcoin-exodus-uses-dns\/28510\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/fake-macos-activator-steals-bitcoin-exodus-uses-dns\/27017\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/fake-macos-activator-steals-bitcoin-exodus-uses-dns\/22330\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/fake-macos-activator-steals-bitcoin-exodus-uses-dns\/11386\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/fake-macos-activator-steals-bitcoin-exodus-uses-dns\/29687\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/fake-macos-activator-steals-bitcoin-exodus-uses-dns\/27185\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/fake-macos-activator-steals-bitcoin-exodus-uses-dns\/27012\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/fake-macos-activator-steals-bitcoin-exodus-uses-dns\/29606\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/fake-macos-activator-steals-bitcoin-exodus-uses-dns\/36901\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/fake-macos-activator-steals-bitcoin-exodus-uses-dns\/12027\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/fake-macos-activator-steals-bitcoin-exodus-uses-dns\/50361\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/fake-macos-activator-steals-bitcoin-exodus-uses-dns\/21445\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/fake-macos-activator-steals-bitcoin-exodus-uses-dns\/22210\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/fake-macos-activator-steals-bitcoin-exodus-uses-dns\/30879\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/fake-macos-activator-steals-bitcoin-exodus-uses-dns\/35746\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/fake-macos-activator-steals-bitcoin-exodus-uses-dns\/27410\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/fake-macos-activator-steals-bitcoin-exodus-uses-dns\/33202\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/fake-macos-activator-steals-bitcoin-exodus-uses-dns\/32826\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/macos\/","name":"macOS"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/28510","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/2749"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=28510"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/28510\/revisions"}],"predecessor-version":[{"id":28514,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/28510\/revisions\/28514"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/28512"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=28510"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=28510"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=28510"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}![\"Manuale](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2024\/02\/07112410\/fake-macos-activator-steals-bitcoin-exodus-uses-DNS-01.jpg\")
Collegamento tramite DNS<\/h2>\n
Il boss di fine livello<\/h2>\n
Come proteggere dagli attacchi i propri portafogli in criptovaluta<\/h2>\n