Tutto quello che c’è da sapere sullo smuggling, una vecchia tecnica di attacco che sta tornando in auge tra gli hacker, che la usano per inserire in modo furtivo i malware nei PC.
Chi non muore si rivede! L’11 novembre 2021 il Team di sicurezza della Microsoft (Microsoft 365 Defender Threat Intelligence Team) ha pubblicato un report nel quale, a seguito di un’analisi di diverse minacce (malware, trojan e ransomware), ha identificato il ritorno di una vecchia tecnica di attacco: lo smuggling HTML (letteralmente contrabbando di HTML).
Che cos’è lo smuggling
Si tratta di una tecnica di attacco informatico attraverso la quale è possibile aggirare i sistemi di sicurezza perimetrali standard di un’infrastruttura IT (come proxy web e gateway di posta elettronica) e ciò avviene in quanto il file dannoso viene creato solo dopo che il file HTML è stato caricato tramite il browser.
In altri termini, l’attacco si basa su un uso legittimo di HTML e di JavaScript, in quanto si nasconde al loro interno (proprio come i contrabbandieri che nascondevano la merce su navi, aerei, auto).
Come funziona lo smuggling
Come la maggior parte delle persone sa, le pagine web sono composte da stringhe di codice HTML (detto in modo molto semplice) che vengono “lette” dal browser web e trasformate nelle pagine con le scritte e le immagini che vediamo noi. Tramite questa procedura il browser (e di conseguenza il PC) scaricano, decodificano e applicano quello che è presente nel codice HTML.
Lo smuggling HTML utilizza proprio questa fase per assemblare il malware, trojan o ransomware sul dispositivo dell’utente. La differenza con gli altri tipi di attacco è che in questo caso non viene fatto passare un file eseguibile (.exe), ma vengono fornite stringhe di codice che portano il PC dell’utente a “costruire” il file dannoso direttamente al suo interno.
Chiaramente le pagine internet devono essere appositamente predisposte. Questo significa che, nel caso della creazione da zero di un sito web atto a tale scopo, sarà necessario crearlo in modo da attirare più utenti possibili; altrimenti sarà necessario violare un sito web esistente e modificarne il codice HTML.
Smuggling: che cosa succede quando si viene colpiti
Nel rapporto di Microsoft viene spiegato che l’utilizzo di questa tecnica è stato osservato principalmente in campagne di spear phishing (quindi tramite email con link a pagine web), per consegnare il trojan bancario Mekotio (un malware molto pericoloso con lo scopo di inserire backdoor, rubare le credenziali, raccogliere informazioni sulla configurazione del firewall, sull’antivirus e sul sistema operativo in generale) e per ottenere l’accesso al computer delle vittime al fine di scaricare dei RAT (ossia trojan che permettono l’accesso remoto al computer della vittima).
Le conseguenze sono facilmente immaginabili. Basti pensare al caso in cui il malware dovesse essere scaricato dai computer di una banca: le ripercussioni sarebbero gravissime, dal blocco delle operazioni bancarie a tutte le possibili e ingenti perdite monetarie. Nel caso venisse scaricato da un’azienda, invece, la conseguenza sarebbe il possibile furto di dati (oltre che personali) relativi a prodotto in fase di studio o protetti dal segreto aziendale (es la Apple con riguardo ai nuovi IPhone o Mac, la Coca-Cola con riguardo alla leggendaria formula segreta, e così via).
E se il malware venisse scaricato da un ospedale? Oltre il rischio per la vita dei pazienti, potrebbero essere rubati dati relativi allo stato di salute di persone famose che sono o sono state in cura da loro.
Infine, dopo aver brevemente visto casi volutamente estremizzati, bisogna puntare lo sguardo anche alle persone comuni (che solitamente pensano “nessuno vuole rubare i miei dati”). Anche per loro potrebbero esserci conseguenze significative (con una copia della carta d’identità e del codice fiscale, potenzialmente, si può aprire un conto in banca) come il furto dei dati personali, di dati bancari o delle credenziali di accesso a tutti gli account.
Smuggling: che cosa dice il GDPR?
Dal punto di vista della normativa privacy, i casi sopra elencati sono tutti molto gravi, perché generano l’obbligo del Titolare del trattamento di procedere alla notifica del data breach, ma soprattutto perché sono indice o di scarsa formazione da parte dei dipendenti aziendali (i quali dovrebbero essere formati anche su questi aspetti, particolarmente qualora trattino molti dati personali o dati particolari) o di falle nel sistema e nelle procedure di sicurezza informatiche.
È necessario ricordare che il titolare del trattamento è obbligato ad adottare misure di sicurezza adeguate al rischio e alla tipologia di dati che tratta (tra queste rientra la formazione del personale) e la mancanza di queste accortezze porta a conseguenze sanzionatorie da parte del garante e a possibili conseguenze dal punto di vista della fiducia dei clienti.
Riccardo Ajassa è Dottore in giurisprudenza. Dal 2018 è Consulente della privacy e studia la normativa in materia di protezione dei dati personali. Dopo aver visto moltissime realtà e aumentato la sua esperienza in campo privacy, da alcuni mesi si sta specializzando anche in tema di cyber security.
