Nel corso degli ultimi anni abbiamo visto cybercriminali sfruttare svariati servizi legittimi per diffondere malware o, comunque, perpetrare vari tipi di crimini nel contesto informatico.
Secondo un’analisi che coinvolge circa 400 famiglie di malware, almeno un centinaio di esse ha in qualche modo sfruttato piattaforme online legali per propagarsi o comunque per mimetizzarsi in modo efficace. In molti casi, questo tipo di operazione risulta altamente funzionale, con abusi che vengono scoperti dopo settimane o mesi.
Una ricerca di Insikt Group di Recorded Future, portata avanti con l’aiuto di CyberScoop, ha voluto far luce su quali sono i servizi più sfruttati in questo contesto. I dati in questione hanno preso in esame il biennio 2021/2022, mettendo in risalto alcune statistiche interessanti.
Dallo studio è evidente una grande verità, ovvero che le piattaforme di cloud storage restano quelle maggiormente coinvolte nel contesto del cybercrimine. Questi sono seguiti da app di messaggistica, servizi di posta elettronica e social network.
Ambienti come Google Drive e Dropbox, per loro natura, sono altamente sfruttabili dai criminali informatici. Per quanto riguarda la messaggistica, Telegram è il primo nome della lista, seguito da Discord. Secondo i ricercatori “Entrambi i servizi sono gratuiti, ampiamente utilizzati sia negli ambienti delle vittime che nel sottosuolo dei criminali informatici, e quindi difficili da bloccare, e le loro API sono anche facili da usare“.
Ciò che però sorprende, tra i tanti servizi, sono quelli legati alla collaborazione lavorativa tramite cloud.
Slack, Trello e Notion sfruttati per diffondere malware
Di quali piattaforme stiamo parlando?
Soluzioni come Slack e Trello, di fatto, sono nomi difficilmente riconducibili nel contesto del cybercrimine ma che, a quanto pare, vengono sfruttati sempre con maggior frequenza.
Il primo servizio dei due, è stato utilizzato come piattaforma di comando e controllo da hacker del gruppo Russian Foreign Intelligence Service (SVR). Trello, dal canto suo, è stato sfruttato più volte per distribuire malware.
Vi è poi il terzo in comodo, ovvero Notion. In questo caso l’utilizzo delle API di questo servizio sono state sfruttate per diffondere GraphicalNeutrino, un temibile malware. A conti fatti, dunque, sembra che i cybercriminali possano muoversi con disinvoltura tra una piattaforma e l’altra, sfruttando i vantaggi di ognuna di esse per i propri scopi.
Per gli utenti, dunque, resta importante avere sempre la massima cautela, anche in ambienti che ritiene “amichevoli”.