Che cos’è il malware zero-click e come funzionano gli attacchi zero-click?

Negli ultimi anni, gli attacchi zero-click si sono sempre più fatti strada e molte notizie hanno nominato questo tipo di attacco informatico. Come si può capire dal nome, gli attacchi zero-click non richiedono alcuna azione da parte della vittima, il che significa che anche gli utenti più esperti possono cadere vittima di seri attacchi informatici e strumenti spyware.

Gli attacchi zero clic sono in genere altamente mirati e utilizzano tattiche sofisticate. Possono avere conseguenze devastanti senza che la vittima sappia che qualcosa non va in background. I termini “attacchi zero-click” e “exploit zero-click” sono spesso usati come sinonimi. A volte sono anche chiamati attacchi senza interazione o completamente remoti.

Che cos’è il malware zero-click?

Normalmente il software di spionaggio si basa sul convincere la persona presa di mira a fare click su un link o un file compromesso per installare sul telefono, tablet o computer un software dannoso. Tuttavia, con un attacco senza clic, il software può essere installato su un dispositivo senza che la vittima faccia click su alcun collegamento. Di conseguenza, il malware zero-click o il malware no-click è molto più pericoloso.

La ridotta interazione e l’assoluta impossibilità di difendersi con le proprie mani, negli attacchi zero-click significa meno tracce di qualsiasi attività dannosa. Questo, oltre al fatto che le vulnerabilità che i criminali informatici possono sfruttare per attacchi zero-click sono piuttosto rare, le rende particolarmente apprezzate dagli aggressori.

Anche gli attacchi di base zero-click lasciano poche tracce, il che significa che rilevarli è estremamente difficile. Inoltre, le stesse funzionalità che rendono il software più sicuro possono spesso rendere più difficili da rilevare gli attacchi zero-click. Gli hack zero-click sono in circolazione da anni e il problema è diventato più diffuso con il boom dell’uso di smartphone che memorizzano una grande quantità di dati personali. Siccome le persone e le aziende diventano sempre più dipendenti dai dispositivi mobili, la necessità di rimanere informati sulle vulnerabilità zero-click non è mai stata così importante.

Come funziona un attacco zero-click?

In genere, l’infezione remota del dispositivo mobile di un bersaglio richiede una qualche forma di ingegneria sociale, con l’utente che fa clic su un collegamento dannoso o installa un’app dannosa per fornire all’attaccante un punto di ingresso. Questo non è il caso degli attacchi zero-click, che aggirano del tutto la necessità dell’ingegneria sociale.

Un hack zero-click sfrutta i difetti del dispositivo, sfruttando una debolezza nella verifica dei dati per farsi strada nel sistema. La maggior parte dei software utilizza processi di verifica dei dati per tenere a bada le violazioni informatiche. Tuttavia, esistono vulnerabilità zero-day persistenti che non sono state ancora corrette, presentando obiettivi potenzialmente redditizi per i criminali informatici. Gli hacker più avanzati possono sfruttare queste vulnerabilità zero-day per eseguire attacchi informatici, che possono essere implementati senza alcuna azione da parte dell’utente.

Spesso, gli attacchi zero-click prendono di mira le app che forniscono messaggistica o chiamate vocali perché questi servizi sono progettati per ricevere e interpretare dati da fonti non attendibili. Gli aggressori generalmente utilizzano dati appositamente formati, come un messaggio di testo nascosto o un file immagine, per iniettare codice che compromette il dispositivo.

Esempio di attacco zero-click:

  • I criminali informatici identificano una vulnerabilità in un’app di posta o di messaggistica.
  • Sfruttano la vulnerabilità inviando un messaggio accuratamente predisposto al bersaglio.
  • La vulnerabilità consente ad attori malintenzionati di infettare il dispositivo da remoto tramite e-mail che consumano molta memoria.
  • L’e-mail, il messaggio o la chiamata dell’hacker non rimarranno necessariamente sul dispositivo.
  • Come risultato dell’attacco, i criminali informatici possono leggere, modificare, divulgare o eliminare messaggi.

L’hacking può essere una serie di pacchetti di rete, richieste di autenticazione, messaggi di testo, MMS, messaggi vocali, sessioni di videoconferenza, telefonate o messaggi inviati tramite Skype, Telegram, WhatsApp, ecc. Tutti questi possono sfruttare una vulnerabilità nel codice di un’applicazione incaricata del trattamento dei dati.

Il fatto che le app di messaggistica consentano di identificare le persone con i loro numeri di telefono, che sono facilmente individuabili, significa che possono essere un obiettivo ovvio sia per le entità politiche che per le operazioni di hacking commerciale.

Le specifiche di ogni attacco zero-click variano a seconda della vulnerabilità sfruttata. Una caratteristica chiave degli hack zero-click è la loro capacità di non lasciare tracce, rendendoli molto difficili da rilevare. Ciò significa che non è facile identificare chi li sta utilizzando e per quale scopo. Tuttavia, è stato riferito che le agenzie di intelligence di tutto il mondo li utilizzano per intercettare i messaggi e monitorare la posizione di sospetti criminali e terroristi.

Esempi di malware zero-click

Una vulnerabilità zero-click può interessare vari dispositivi, da Apple ad Android. Esempi di alto profilo di exploit zero-click includono:

Apple zero-click, Forced Entry, 2021:

Nel 2021, un attivista per i diritti umani del Bahrein ha visto il proprio iPhone violato da un potente spyware venduto ad organizzazioni governative. L’hack, scoperto dai ricercatori del Citizen Lab, aveva superato le protezioni di sicurezza messe in atto da Apple per resistere a compromissioni di sistema.

Citizen Lab ha sede presso l’Università di Toronto. Hanno analizzato l’iPhone 12 Pro dell’attivista e hanno scoperto che era stato violato tramite un attacco zero-click. L’attacco zero-click ha sfruttato una vulnerabilità di sicurezza precedentemente sconosciuta in iMessage di Apple, che è stata sfruttata per inviare lo spyware Pegasus, sviluppato dalla società israeliana ONG Group, al telefono dell’attivista.

Questa intromissione fu al centro di moltissimi articoli tecnici, principalmente perché ha sfruttato l’ultimo software per iPhone dell’epoca, sia iOS 14.4 che il successivo iOS 14.6, che Apple ha rilasciato a maggio 2021. L’hack ha superato una funzionalità del software di sicurezza integrata in tutte le versioni di iOS 14, chiamata BlastDoor, che aveva lo scopo di prevenire questo tipo di hack del dispositivo filtrando i dati dannosi inviati tramite iMessage. A causa della sua capacità di superare BlastDoor, questo exploit è stato soprannominato ForcedEntry. In risposta, Apple ha aggiornato le sue difese di sicurezza con iOS 15.

WhatsApp breach, 2019

Questa famigerata violazione è stata innescata da una chiamata persa, che ha sfruttato un difetto nel framework del codice sorgente di WhatsApp. Un exploit zero-day, ovvero una vulnerabilità informatica precedentemente sconosciuta e senza patch, ha consentito all’attaccante di caricare spyware nei dati scambiati tra i due dispositivi a causa della chiamata persa. Una volta caricato, lo spyware si è attivato come risorsa in background, all’interno del framework software del dispositivo.

Jeff Bezos, 2018

Nel 2018, il principe ereditario Mohammed bin Salman dell’Arabia Saudita avrebbe inviato al CEO di Amazon Jeff Bezos un messaggio WhatsApp con un video che promuoveva il mercato delle telecomunicazioni dell’Arabia Saudita. È stato riferito che c’era un pezzo di codice all’interno del file video che ha consentito al mittente di estrarre informazioni dall’iPhone di Bezos per diversi mesi. Ciò ha comportato l’acquisizione di messaggi di testo, messaggi istantanei ed e-mail e forse anche registrazioni intercettate effettuate con i microfoni del telefono.

Come proteggersi dagli exploit zero-click

Poiché gli attacchi zero-click si basano sull’assenza di interazione da parte della vittima, ne consegue che non c’è molto che tu possa fare per proteggerti. Anche se questo è un pensiero scoraggiante, è importante ricordare che, in generale, questi attacchi tendono a essere mirati a vittime specifiche per scopi di spionaggio.

Riepiloghiamo le regole base di una buona condotta di sicurezza informatica

  • Mantieni aggiornati il ​​tuo sistema operativo, firmware e app su tutti i tuoi dispositivi
  • Scarica app solo dagli store ufficiali
  • Elimina tutte le app che non usi più
  • Evita di eseguire il “jailbreak” o il “rooting” del telefono poiché ciò rimuove la protezione fornita da Apple e Google
  • Usa la protezione con password del tuo dispositivo
  • Usa l’autenticazione avanzata per accedere agli account, in particolare alle reti critiche
  • Usa password complesse, ovvero password lunghe e univoche
  • Esegui un backup regolare. I sistemi possono essere ripristinati in caso di ransomware e avere un backup corrente di tutti i dati velocizza il processo di ripristino
  • Abilita i blocchi popup o impedisci la visualizzazione dei popup regolando le impostazioni del browser. I truffatori utilizzano regolarmente i popup per diffondere malware