{"id":29279,"date":"2024-11-13T17:52:37","date_gmt":"2024-11-13T15:52:37","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=29279"},"modified":"2024-11-13T17:52:37","modified_gmt":"2024-11-13T15:52:37","slug":"how-to-play-tanks-and-catch-backdoor","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/how-to-play-tanks-and-catch-backdoor\/29279\/","title":{"rendered":"Come (non) giocare ai carri armati e infilarsi in una backdoor"},"content":{"rendered":"<p>Battle City, colloquialmente nota come \u201cquel gioco di carri armati\u201d, \u00e8 il simbolo di un\u2019epoca passata. Circa 30 anni fa, i giocatori inserivano una cartuccia nella console, si sistemavano davanti a un ingombrante televisore e annientavano ondate di carri armati nemici finch\u00e9 non si raggiungeva la vittoria.<\/p>\n<p>Oggi il mondo non \u00e8 pi\u00f9 quello di una volta, ma i giochi di carri armati continuano ad essere popolari. Le moderne iterazioni offrono ai giocatori non solo l\u2019emozione del gioco, ma anche la possibilit\u00e0 di guadagnare NFT. Anche i criminali informatici hanno qualcosa da offrire: un attacco sofisticato che prende di mira gli appassionati di criptovalute.<\/p>\n<h2>Backdoor ed exploit zero-day in Google Chrome<\/h2>\n<p>Questa storia inizia nel febbraio 2024, quando <strong>[placeholder Kaspersky Premium]<\/strong>la nostra soluzione di sicurezza<strong>[\/placeholder]<\/strong> ha rilevato la backdoor di Manuscrypt nel computer di un utente in Russia. Conosciamo molto bene questa backdoor; varie versioni di questa sono state utilizzate dal gruppo <a href=\"https:\/\/www.kaspersky.it\/blog\/lazarus-vhd-ransomware\/22422\/\" target=\"_blank\" rel=\"noopener\">Lazarus APT<\/a> almeno dal 2013. Quindi, dato che conosciamo gi\u00e0 lo strumento e i metodi principali utilizzati dagli aggressori, cosa c\u2019\u00e8 di cos\u00ec speciale in questo particolare avvenimento?<\/p>\n<p>Il fatto \u00e8 che questi hacker in genere prendono di mira grandi organizzazioni come banche, aziende IT, universit\u00e0 e persino pubbliche amministrazioni. Ma questa volta Lazarus ha colpito un singolo utente, piazzando una backdoor in un PC! I criminali informatici hanno attirato la vittima sul sito di un gioco, ottenendo cos\u00ec accesso completo al suo sistema. I motivo che l\u2019hanno reso possibile sono tre:<\/p>\n<ul>\n<li>L\u2019irresistibile desiderio della vittima di utilizzare il proprio gioco di carri armati preferito in un nuovo formato<\/li>\n<li>Una vulnerabilit\u00e0 zero-day in Google Chrome<\/li>\n<li>Un exploit che consentiva l\u2019esecuzione di codice remoto nel processo di Google Chrome<\/li>\n<\/ul>\n<p>Prima di iniziare a preoccuparti, rilassati: Google ha successivamente rilasciato un aggiornamento del browser, bloccato il sito web del gioco di carri armati e <a href=\"https:\/\/chromereleases.googleblog.com\/2024\/05\/stable-channel-update-for-desktop_15.html\" target=\"_blank\" rel=\"noopener nofollow\">ringraziato<\/a> i ricercatori per la sicurezza di Kaspersky. Ma per ogni evenienza, <strong>[placeholder home security]<\/strong>i nostri prodotti<strong>[\/placeholder]<\/strong> rilevano sia la backdoor di Manuscrypt che l\u2019exploit. Abbiamo approfondito i dettagli di questo avvenimento nel <a href=\"https:\/\/securelist.com\/lazarus-apt-steals-crypto-with-a-tank-game\/114282\/\" target=\"_blank\" rel=\"noopener\">blog di Securelist<\/a>.<\/p>\n<p><strong>Conti falsi<\/strong><\/p>\n<p>All\u2019inizio delle indagini, pensavamo che questa volta il gruppo avesse fatto di tutto: \u201cHanno davvero creato un intero gioco solo per una truffa?\u201d Ma presto abbiamo capito cosa avevano veramente fatto. I criminali informatici hanno basato il loro gioco, DeTankZone, sul gioco esistente DeFiTankLand. Hanno davvero fatto di tutto, sottraendo il codice sorgente di DeFiTankLand e creando account di social media falsi per la loro contraffazione.<\/p>\n<p>Pi\u00f9 o meno nello stesso periodo, nel marzo 2024, il prezzo della criptovaluta DefitankLand (sic!) \u00e8 crollato: gli sviluppatori del gioco originale hanno <a href=\"https:\/\/t.me\/DFTLofficial\/8935\" target=\"_blank\" rel=\"noopener nofollow\">annunciato<\/a> che il loro <a href=\"https:\/\/www.kaspersky.com\/blog\/five-threats-hardware-crypto-wallets\/47971\/#:~:text=Hot%20and%20cold%2C%20hardware%20and%20software%20wallets\" target=\"_blank\" rel=\"noopener nofollow\">cold wallet<\/a> era stato manomesso e \u201cqualcuno\u201d aveva sottratto 20.000 dollari. L\u2019identit\u00e0 di questa persona rimane misteriosa. Gli sviluppatori ritengono che si sia trattato di un insider, ma sospettiamo che sia coinvolto l\u2019onnipresente zampino di Lazarus.<\/p>\n<div id=\"attachment_29280\" style=\"width: 1810px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-29280\" class=\"size-full wp-image-29280\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2024\/11\/13174354\/how-to-play-tanks-and-catch-backdoor-1.png\" alt=\"Le differenze tra il falso e l'originale sono minime \" width=\"1800\" height=\"864\"><p id=\"caption-attachment-29280\" class=\"wp-caption-text\">Le differenze tra il falso e l\u2019originale sono minime<\/p><\/div>\n<p>I criminali informatici hanno orchestrato una vera e propria campagna di promozione per il loro gioco: hanno incrementato il numero dei follower su X (ex Twitter), inviato offerte di collaborazione a centinaia di influencer di criptovalute (anche potenziali vittime), creato account LinkedIn premium e organizzato ondate di e-mail di phishing. Di conseguenza, il gioco falso ha ottenuto ancora pi\u00f9 successo rispetto <a href=\"https:\/\/twitter.com\/defitankland\" target=\"_blank\" rel=\"noopener nofollow\">all\u2019originale<\/a> (6.000 follower su X contro 5.000 per l\u2019account del gioco originale).<\/p>\n<div id=\"attachment_29281\" style=\"width: 1325px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-29281\" class=\"size-full wp-image-29281\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2024\/11\/13174444\/how-to-play-tanks-and-catch-backdoor-2.png\" alt=\"Contenuti dei social media creati dall'IA con l'aiuto di grafici \" width=\"1315\" height=\"696\"><p id=\"caption-attachment-29281\" class=\"wp-caption-text\">Contenuti dei social media creati dall\u2019IA con l\u2019aiuto di grafici<\/p><\/div>\n<p><strong>Come abbiamo giocato ai carri armati<\/strong><\/p>\n<p>Adesso la parte pi\u00f9 divertente: il sito dannoso in cui Lazarus adescava le vittime offriva la possibilit\u00e0 non solo di \u201cprovare\u201d un exploit zero-day del browser, ma anche di giocare a una versione beta del gioco. Ebbene, noi di Kaspersky rispettiamo i classici, quindi non abbiamo potuto resistere all\u2019idea di provare questa nuova promettente versione. Abbiamo scaricato un archivio che sembrava del tutto legittimo: dimensioni di 400 MB, struttura dei file corretta, loghi, elementi dell\u2019interfaccia utente e trame del modello 3D. L\u2019abbiamo avviato.<\/p>\n<p>Il menu di avvio di DeTankZone ci ha accolto con la richiesta di immettere un indirizzo e-mail e una password. Innanzitutto abbiamo tentato di accedere utilizzando <a href=\"https:\/\/www.kaspersky.it\/blog\/password-can-be-hacked-in-one-hour\/28999\/#:~:text=Using%20popular%20words%20and%20number%20sequences\" target=\"_blank\" rel=\"noopener\">password comuni<\/a> come \u201c12345\u201d e \u201cpassword\u201d, ma non funzionava. \u201cBene\u201d, abbiamo pensato. \u201cA questo punto registreremo semplicemente un nuovo account\u201d. Ancora una volta, non ci siamo riusciti: il sistema non ci permetteva di giocare.<\/p>\n<div id=\"attachment_29282\" style=\"width: 1930px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-29282\" class=\"size-full wp-image-29282\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2024\/11\/13174542\/how-to-play-tanks-and-catch-backdoor-3.png\" alt=\"Il menu di avvio ispirava fiducia con un modulo di accesso apparentemente legittimo \" width=\"1920\" height=\"1080\"><p id=\"caption-attachment-29282\" class=\"wp-caption-text\">Il menu di avvio ispirava fiducia con un modulo di accesso apparentemente legittimo<\/p><\/div>\n<p>Allora perch\u00e9 erano presenti trame del modello 3D e altri file nell\u2019archivio del gioco? Potrebbero davvero essere altri componenti del malware? In realt\u00e0, non sembrava cos\u00ec male. Abbiamo eseguito il reverse engineering del codice e abbiamo scoperto gli elementi responsabili della connessione al server di gioco, che, per questa versione falsa, non era funzionale. Quindi, in teoria, era comunque possibile usare questo gioco. Un po\u2019 di tempo libero, un po\u2019 di programmazione e <em>voil\u00e0<\/em>: abbiamo sostituito il server degli hacker con il nostro e il carrarmato rosso \u201cBoris\u201d \u00e8 entrato nell\u2019arena.<\/p>\n<div id=\"attachment_29283\" style=\"width: 1556px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-29283\" class=\"size-full wp-image-29283\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2024\/11\/13174644\/how-to-play-tanks-and-catch-backdoor-4.png\" alt=\"Il gioco ci ha ricordato i giochi shareware di vent'anni fa: ne \u00e8 valsa sicuramente la pena\" width=\"1546\" height=\"806\"><p id=\"caption-attachment-29283\" class=\"wp-caption-text\">Il gioco ci ha ricordato i giochi shareware di vent\u2019anni fa: ne \u00e8 valsa sicuramente la pena<\/p><\/div>\n<h2>Lezioni apprese da questo attacco<\/h2>\n<p>In questo caso, il punto chiave \u00e8 che anche collegamenti web apparentemente innocui possono causare il dirottamento dell\u2019intero computer. I criminali informatici perfezionano costantemente tattiche e metodi. Lazarus sta gi\u00e0 utilizzando l\u2019IA generativa con un certo successo, il che significa che possiamo aspettarci attacchi ancora pi\u00f9 sofisticati che la coinvolgeranno in futuro.<\/p>\n<p><a href=\"https:\/\/www.kaspersky.it\/premium?icid=it_bb2023-kdplacehd_acq_ona_smm__onl_b2c_kdaily_lnk_sm-team___kprem___\" target=\"_blank\" rel=\"noopener\">Anche le soluzioni di sicurezza<\/a>\u00a0si stanno evolvendo, con l\u2019effettiva integrazione dell\u2019IA. Ulteriori informazioni sono disponibili <a href=\"https:\/\/www.kaspersky.com\/blog\/ai-role-in-cybersecurity-automation\/52448\/\" target=\"_blank\" rel=\"noopener nofollow\">qui<\/a> e <a href=\"https:\/\/www.kaspersky.com\/blog\/ai-cybersecurity-practical-soc-usage\/52474\/\" target=\"_blank\" rel=\"noopener nofollow\">qui<\/a>. Pertanto, tutto quello che gli utenti Internet devono fare ogni giorno \u00e8 garantire che la <a href=\"https:\/\/www.kaspersky.it\/home-security?icid=it_kdailyplacehold_acq_ona_smm__onl_b2c_blo_lnk_sm-team______\" target=\"_blank\" rel=\"noopener\">protezione<\/a>\u00a0dei propri dispositivi e rimanere informati sulle ultime truffe. Per fortuna, Kaspersky Daily rende tutto pi\u00f9 semplice: <a href=\"https:\/\/www.kaspersky.it\/blog\/subscribe\/\" target=\"_blank\" rel=\"noopener\">abbonati<\/a> per ricevere aggiornamenti continui.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"premium-generic\">\n","protected":false},"excerpt":{"rendered":"<p>I criminali informatici hanno escogitato un nuovo schema: attirare i giocatori in un gioco di criptovalute in voga per ottenere l&#8217;accesso completo ai loro computer.<\/p>\n","protected":false},"author":2706,"featured_media":29284,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2641,2194],"tags":[3036,816,116,1118,3852],"class_list":{"0":"post-29279","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-privacy","9":"tag-criptovalute","10":"tag-giochi","11":"tag-phishing","12":"tag-truffa","13":"tag-vulnerabilita-zero-day"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/how-to-play-tanks-and-catch-backdoor\/29279\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/how-to-play-tanks-and-catch-backdoor\/28271\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/how-to-play-tanks-and-catch-backdoor\/23526\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/how-to-play-tanks-and-catch-backdoor\/28412\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/how-to-play-tanks-and-catch-backdoor\/27787\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/how-to-play-tanks-and-catch-backdoor\/30528\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/how-to-play-tanks-and-catch-backdoor\/38498\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/how-to-play-tanks-and-catch-backdoor\/12940\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/how-to-play-tanks-and-catch-backdoor\/52561\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/how-to-play-tanks-and-catch-backdoor\/22352\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/how-to-play-tanks-and-catch-backdoor\/23095\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/how-to-play-tanks-and-catch-backdoor\/28482\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/how-to-play-tanks-and-catch-backdoor\/34367\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/how-to-play-tanks-and-catch-backdoor\/33992\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/truffa\/","name":"truffa"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/29279","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/2706"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=29279"}],"version-history":[{"count":1,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/29279\/revisions"}],"predecessor-version":[{"id":29285,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/29279\/revisions\/29285"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/29284"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=29279"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=29279"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=29279"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}