I "Script Kiddies" vengono hackerati: cosa significa per l'economia del crimine informatico

La scoperta di un Trojan camuffato da software per aiutare hacker di basso livello a creare il malware XWorm RAT indica la maturità e la complessità dell'economia fiorente della criminalità informatica—e ci ricorda che non c'è onore tra i ladri.

Immagina di essere un giovane aspirante hacker ambizioso. Non sei un esperto programmatore. Invece, hai trovato la tua strada verso il mercato degli strumenti e servizi per il cybercrimine nel dark web. Lì, sei come un bambino in un negozio di caramelle. A prezzi molto ragionevoli, puoi acquistare o noleggiare software paint-by-numbers che rendono facile costruire e lanciare un attacco informatico. Una piccola tassa aggiuntiva include il supporto tecnico 24 ore su 24.

Ransomware-as-a-Service (RaaS) e Phishing-as-a-Service (PhaaS) lo rendono ancora più facile—e il loro utilizzo è in costante aumento. Ad agosto 2023, Interpol ha smantellato un'operazione PhaaS che aveva 70.000 clienti attivi.

Problemi di fiducia

Il problema per il nostro ipotetico giovane hacker, uno di un tipo noto come "script kiddies", è che tutti coloro con cui ha a che fare in quel mercato sono fondamentalmente dei criminali. Il che solleva potenziali domande su chi può essere considerato affidabile.

Bene, il mese scorso 18.000 script kiddies hanno scoperto cosa succede quando la fiducia è mal riposta. Pensavano di scaricare un generatore gratuito di XWorm RAT, un software per automatizzare la produzione di una minaccia informatica.

Invece, ciò che hanno installato nei loro sistemi era malware che ha creato una backdoor per permettere agli attori delle minacce di controllare i loro computer Windows.

Come ha funzionato

Una volta che un sistema veniva infettato, veniva registrato su un server di comando e controllo basato su Telegram.

Il malware ruba ed esfiltra automaticamente i token di Discord, le informazioni di sistema e i dati di posizione.

Una volta connessi al server, gli attori delle minacce possono emettere comandi tra cui rubare password salvate e dati del browser, registrare sequenze di tasti, catturare lo schermo, crittografare file, terminare software di sicurezza ed esfiltrare file specifici.

I ricercatori delle minacce che hanno scoperto l'infezione sono stati in grado di identificare e trasmettere un comando di disinstallazione per il malware, che lo ha rimosso da molte, ma non tutte, le macchine infette.

Cosa significa

"La disonestà tra ladri" potrebbe essere la prima risposta che viene in mente a molti di noi. Ma penso che la verità sia un po' più complicata.

Qualsiasi mercato di successo, per l'acquisto e la vendita di qualsiasi cosa, richiede un certo livello di fiducia. Deve esserci fiducia che i contratti vengano rispettati. E secondo questa misura, l'economia del crimine informatico è un mercato molto affidabile, dove la stragrande maggioranza delle transazioni viene effettuata senza frodi.

Ma è proprio questo successo come mercato affidabile che costituisce la condizione per l'emergere di frodi e comportamenti malevoli. Gli acquirenti inesperti in qualsiasi mercato—come i nostri script kiddies nel mercato del malware—sono troppo fiduciosi, rendendoli bersagli perfetti per i truffatori che operano ai margini del mercato, beneficiando della fiducia e della reputazione complessiva che il mercato ha raggiunto.

"Attenzione acquirente" è un atteggiamento saggio in qualsiasi mercato. Ma ciò che la storia dei script-kiddies costruttori di malware fasulli ci racconta è che l'economia sotterranea del crimine informatico è un mercato completamente maturo, dove la maggior parte dei criminali informatici può fare affari con fiducia.