Dropper, un tipo di malware, una minaccia informatica di cui si parla davvero poco, la parola in inglese di fatto significa “contagocce”, proprio perché, come contagocce, inserisce codice dannoso sul tuo PC (o sul tuo telefono) senza che nemmeno te ne accorga.
Molto spesso questi programmini si nascondono in programmi del tutto legittimi, e sono difficili da individuare anche da antivirus e antimalware belli tosti, come Malwarebytes o Kaspersky, per capirci.
Cosa sarebbe di preciso un dropper?
Secondo Wikipedia in lingua italiana, il dropper è “un programma creato per installare un malware, un virus, o aprire una backdoor su un sistema. Il codice del malware può essere contenuto dentro il dropper (singola fase) in modo tale da evitarne il rilevamento da parte degli antivirus, oppure il dropper, una volta attivo, può scaricare il malware nel sistema target (doppia fase).”
Wikipedia in lingua italiana successivamente aggiunge: “Esistono due tipi principali di dropper. Alcuni non richiedono l’interazione utente, e sfruttano un exploit, un codice che si serve di una vulnerabilità del sistema. Altri richiedono l’interazione utente convincendo la vittima che si tratta di un programma benevolo”
Come abbiamo già visto più volte, non è assolutamente raro che questi programmi si “infiltrino” su programmi che sembrano completamente legittimi.
Se ad esempio tu hai un WhatsApp installato da store di terze parti (da nomi mai sentiti prima, non quelli sicuri), è molto probabile che questa “edizione” del noto programma di messaggistica stia pian piano inserendo sul tuo telefono chissà quali minacce (malware, virus, etc.).
Cosa fa di preciso questa tipologia di programma?
Un dropper è un piccolo programma di supporto che facilita la consegna e l’installazione di malware; gli spammer e altri malintenzionati utilizzano questi programmini per aggirare le firme utilizzate dai programmi antivirus per bloccare o mettere in quarantena il codice dannoso, ecco perché anche gli antivirus spesso fan fatica ad individuarli.
È molto più facile cambiare il programma, se la sua firma viene riconosciuta, piuttosto che riscrivere il codice dannoso.
I dropper, come molti dei loro omologhi (come i Trojan), possono essere persistenti o non persistenti; i dropper non persistenti installano malware e poi si rimuovono automaticamente, invece, quelli persistenti copiano se stessi in un file nascosto e vi rimangono finché non completano l’attività per la quale sono stati creati.
I dropper possono essere diffusi da persone che:
- Aprono accidentalmente un allegato di posta elettronica infetto;
- Scaricano chissà cosa da siti estremamente dubbi;
- Cliccano su banner ingannevoli che accidentalmente installano cose poco carine;
- Utilizzano inconsapevolmente una memoria flash (pendrive USB o scheda SD) infetta.
Come fanno i dropper a nascondersi?
Talvolta questi programmi malevoli vengono addirittura forniti in bundle con programmi o estensioni browser gratuiti (come ad blocker vari) per evitare il rilevamento da parte del software antivirus; quando il programma gratuito viene eseguito, questa minaccia informatica poco conosciuta scaricherà e installerà prima il malware da decomprimere e successivamente installare il software (apparentemente) legittimo.
I dropper non sono associati ad alcuna estensione di file, il che li rende più difficili da rilevare. Il software, che essenzialmente agisce come un Trojan, il quale viene spesso utilizzato negli attacchi di spear phishing.
Sebbene i dropper siano tradizionalmente programmi autonomi, le loro funzionalità sono sempre più incluse come parte di un pacchetto malware.
Alla fine del 2014, ad esempio, l’FBI ha riferito che il malware utilizzato negli attacchi a Sony associati al loro film The Interview è stato racchiuso in un dropper eseguibile che si è installato come servizio Windows. I dati raccolti dal Verizon DBIR del 2020 mostrano che quasi il 25% degli incidenti del settore pubblico coinvolge proprio uno di questi famigerati “contagocce”.
Come prevenire?
La Cybersecurity and Infrastructure Security Agency (CISA) raccomanda agli utenti e agli amministratori:
- bloccare le mail che non possono essere scansionate dagli antivirus;
- usare una strategia Zero-Trust;
- usare il principio del “meno privilegi [da amministratore] possibili” (POLP);
- Implementare il network slicing per segmentare e segregare reti e funzioni (sostanzialmente decentralizzare i server, se possibile).
Come sempre, l’utente fa il 90% del lavoro della sicurezza del PC o del telefono.