Il piccolo Virus che viene col grande Transfer

La nave dei pirati batte sempre il mare di Internet! Ovvero:

Se vi volessero consegnare una busta con un mezzo adatto per i trasporti eccezionali, non notereste qualcosa di strano?

Il primo sospetto che ci fosse qualcosa di strano è scattato dalla dimensione dell’allegato arrivato con WeTransfer: 126 KB ! Un sistema per spedire GigaByte usato per un file piccolissimo? E non solo questo, ma andiamo con ordine. Poi altri piccoli particolari devono essere sempre colti, come il testo “please see attached” troppo semplice e generico per indicare qualcosa di specificatamente destinato a noi stessi! Ma vediamo il resto …

Come funziona?

Se non conoscete il sistema di WeTransfer (altri strumenti simili sono: Jumbo Mail, Giga Mail, ecc.) è presto detto: i tradizionali sistemi di posta elettronica, gestiti con strumenti tipo Outlook, Thunderbird o anche i sistemi di posta via WebMail, accettano di spedire file allegati di dimensioni massime fino a circa 50 MB (o anche meno). Per aggirare tale ostacolo, da alcuni anni si sono diffusi i sistemi di spedizione di allegati di grandi dimensioni, anche di più GigaByte, mediante un semplice meccanismo, che qui spieghiamo come funziona su WeTransfer.com:

  1. Carichiamo sul server un file di grandi dimensioni tramite la pagina web del servizio, specificando l’indirizzo email del destinatario ed un eventuale messaggio. Questa è la parte “lunga” del lavoro e dovremo attendere lasciando aperta la pagina web fino alla fine!
  2. A caricamenteo completato, il server ci avvisa (così potremo chiudere la pagina web) ed invia un’email al destinatario con un avviso ed un un link al file per consentirne lo scaricamento dal server (specificando che avrà da 7 giorni ad un mese di tempo prima che il file venga cancellato).
  3. Il destinatario riceve l’email, fa clic sul link e scarica il file (operazione decine di volte più veloce del tempo con cui noi lo abbiamo caricato; quindi molto più pratica per il nostro destinatario).
  4. Se però il file contiene dei virus, il messaggio magari è stato recapitato comunque al destinatario, ma dopo la scansione avvenuta sul server, il file viene cancellato e il download viene annullato.

Dovè il virus?

Il virus è nel file invoice_doc.zip da scaricare da WeTransfer; una busta di 126 Kbyte che avrebbe viaggiato con qualunque messaggio email, ma che è stata inviata con WeTransfer, capace di spedire file fino a 20 GB (166.440 volte maggiore di 126 Kb: il famoso TIR per consegnare una busta!). Ovviamente il nome del file, invoice, che significa “fattura”, vorrebbe invogliare ad aprire un documento di tipo fiscale …

L’allarme era stato già lanciato per il caso di finte email che ricadono nel caso di Phishing con le quali si faceva credere che il link portasse a scaricare direttamente dal server di WeTransfer ma invece si trattava di una pagina che ne copiava la grafica, ospitata su server compromessi e che servivano come centro di diffusione dei virus.
Nel caso qui in studio, invece, la sfrontatezza degli hacker è stata completa; il virus era stato effettivamente caricato sui server di WeTransfer, utilizzati direttamente come strumento di diffusione; certo: perché usare una copia quando l’originale è disponibile a chiuque faccia un semplice clic su ACCETTO le condizioni? Anche se lo staff di supporto di WeTransfer informa sulle precauzioni e sulle attenzioni.
E molti dei rischi che provengono via email sono analizzati in un completo articolo su PixelPrivacy.com, molto utile e chiaro (anche per chi non è un tecnico) per imparare a riconoscere le varie tecniche di attacco di tipo Phishing e sapere come meglio agire.

Analizziamo le singole parti del pulsante di DOWNLOAD nel messaggio ricevuto

Potremo vedere che ci sono due tipi di link: uno al centro, sotto la scritta DOWNLOAD (parte rettangolare centrale) e due link UGUALI sotto le 2 lunette a SX e DX del rettangolo centrale di download.

  1. Il primo link centrale punta ad un link abbreviato ( we.tl ) di WeTransfer, segno che gli hacker sono riusciti a caricare effettivamente il file e in WeTransfer NON SI ERANO ACCORTI che fosse un virus ma poi, al momento della ricezione del messaggio, SE NE ERANO ACCORTI ed il link non funzionava più (v. foto sopra, ma a me NON informavano del perché!).
  2. Il secondo link, evidentemente più subdolo, è stato aggiunto nelle due lunette a DS e a SX del testo “Download” proprio per avere ancora delle possibilità di continuare a propagare l’infezione e puntavano ad un link più lungo, il link completo.

Qunidi: occhio! Qualunque stranezza in qualunque messaggio email che ricevete è al 99,99% un virus!

P.S.: per non parlare del nome server di wetransfer dove era andato a finire il file in questione! 🙂

About the author

Rispondi