Cos'è un payload dannoso?
Nel contesto di un attacco informatico, un payload è il componente dell'attacco che causa danni alla vittima. Come i soldati greci nascosti nel cavallo di legno nel racconto del cavallo di Troia, un payload dannoso può rimanere inattivo per un certo periodo di tempo prima di essere attivato.
Vettori di attacco come virus, worm e malware possono contenere uno o più payload dannosi. I payload dannosi possono essere trovati anche negli allegati e-mail. Symantec ha rilevato che un'e-mail su 359 contiene un payload dannoso, e questo rapporto è in aumento.
In che modo i payload dannosi danneggiano le proprie vittime?
Alcuni esempi tipici di come i payload dannosi causano danni:
- Furto di dati: particolarmente comune è il furto di informazioni sensibili, come credenziali di accesso o informazioni finanziarie, attraverso varie forme di violazione.
- Monitoraggio delle attività: un payload dannoso può essere utilizzato per monitorare l'attività dell'utente su un computer, per fini di spionaggio, ricatto o per aggregare il comportamento dei consumatori e rivenderlo a inserzionisti pubblicitari.
- Visualizzazione di pubblicità: alcuni payload dannosi operano mostrando alla vittima annunci persistenti e indesiderati, come pop-up e pop-under.
- Eliminazione o modifica di file: questa è una delle conseguenze più gravi derivanti da un payload dannoso. Dei file possono essere eliminati o modificati per alterare il comportamento di un computer o persino disabilitare il sistema operativo e/o i processi di avvio. Ad esempio, alcuni payload sono progettati per rendere inutilizzabili gli smartphone impedendone l'accensione o compromettendone il funzionamento.
- Download di nuovi file: alcuni payload arrivano in file molto leggeri e facili da distribuire, ma una volta eseguiti, attivano il download di software dannoso di dimensioni molto maggiori.
- Esecuzione di processi in background: un payload dannoso può anche essere attivato per eseguire silenziosamente processi in background, come la creazione criptovaluta o l'archiviazione di dati.
Come vengono eseguiti i payload dannosi?
Gli aggressori devono innanzitutto trovare un metodo per far arrivare il payload dannoso sul computer della vittima. Gli attacchi di social engineering e l'hijack del DNS sono due esempi di tecniche usate per farlo.
Una volta che un payload dannoso riesce a entrare del sistema, di solito rimane inattivo fino alla sua esecuzione. Un aggressore può scegliere tra molti modi diversi per attivare il payload, e tra i metodi più diffusi troviamo i seguenti:
- Apertura di un file eseguibile: ad esempio, una vittima scarica un allegato e-mail che ritiene contenga del software pirata e fa doppio clic sul file di installazione, eseguendo così il payload dannoso.
- Attivazione di una serie specifica di condizioni comportamentali: questo fenomeno prende il nome di "bomba logica". Ad esempio, un dipendente senza scrupoli potrebbe incorporare una bomba logica nella rete aziendale che verifica costantemente se il dipendente in questione sia ancora a libro paga. Quando dovesse constatare l'assenza del dipendente dal libro paga, la condizione di attivazione verrà soddisfatta e il payload dannoso verrà eseguito.
- Apertura di determinati file non eseguibili: anche alcuni file non eseguibili possono contenere dei payload dannosi. Ad esempio, esistono attacchi in cui questi contenuti sono nascosti in file immagine .PNG. Quando una vittima apre il file immagine il payload dannoso viene eseguito.
Come bloccare i payload dannosi
Poiché esistono così tanti metodi diversi per la distribuzione e l'esecuzione di payload dannosi, non esiste una soluzione unica e semplice per mitigarli. Oltre a prestare attenzione alle truffe di phishing e ad altri attacchi di social engineering, è necessario adottare misure di sicurezza ogni volta che si scaricano file o si ricevono dati di qualsiasi tipo da Internet. Una buona regola generale è quella di eseguire sempre una scansione antivirus sui file scaricati, anche se sembrano provenire da una fonte attendibile.