Il comando finger di Windows può essere utilizzato per scaricare codice nocivo

La lista dei componenti di sistema integrati in Windows che possono facilitare il download di codice malevolo o essere utilizzati per sottrarre dati si allunga ancora.
Questi elementi sono stati battezzati LoLBins (living-off-the-land binaries) dagli esperti di sicurezza perché pur essendo del tutto legittimi sono sempre più spesso sfruttati da parte dei criminali informatici per nascondere le loro attività.

Ne abbiamo parlato negli articoli Alcuni eseguibili di Windows 10 consentono il download di file potenzialmente dannosi e Perché Windows Defender potrebbe essere usato per scaricare malware ma esistono diversi altri esempi in Windows.

Adesso si scopre che anche il comando finger (visualizza informazioni su un utente di un sistema specificato che esegue il servizio omonimo) può essere utilizzato per disporre il download di file da server remoti e addirittura come server command and control per l’invio di comandi a distanza e la sottrazione di dati personali e informazioni riservate.

Secondo John Page, il ricercatore che ha scoperto l’utilizzo per scopi malevoli del comando finger, eventuali criminali informatici possono farne uso per sottrarsi all’analisi da parte di Windows Defender e delle altre soluzioni antimalware.

Il video seguente, realizzato proprio da Page, mostra un possibile attacco basato sull’uso di finger.

Il comando finger può essere utilizzato dagli amministratori di sistema, anche in ambiente Linux, e fornisce dettagli come il nome utente, il tempo di inattività, il tempo di login e in alcuni casi l’indirizzo email associato agli account usati sulle varie macchine.

Un’analisi pubblicata lo scorso anno da Cisco Talos aveva messo in luce almeno 13 componenti di Windows che utenti malintenzionati e malware writer stanno già usando o sono potenzialmente in grado di usare per restare “under-the-radar” sottraendosi all’analisi delle principali soluzioni per la sicurezza informatica.