“Gentile cliente, in allegato potrà trovare la fattura che ci risulta non pagata”. Apprensione, panico: cosa ho dimenticato di saldare? Telefono, luce, gas, la lavatrice che si era rotta? Scarico subito il file. Lo apro, ed è fatta. Raccoon Infostealer è penetrato nel mio computer, infettandomi e cercando di carpire ogni mio dato personale. Se non lo elimino sarà in grado di riprodursi provando ad infettare anche i miei contatti.
Quella appena descritta, cercando di semplificare il più possibile, è solo una delle modalità d’azione del Raccoon Infostealer (la cui traduzione letterale è “procione ladro d’informazioni”), un malware tra i più potenti, diffusi e redditizi che ha mai fatto la propria comparsa sul web. Il suo creatore sarebbe un cittadino ucraino di 26 anni, Mark Sokolovsky, recentemente arrestato in Olanda, è stato al centro di un’operazione internazionale di contrasto alla criminalità informatica.
A dare l’annuncio del suo arresto è stato Gran Giurì federale di Austin, capitale dello stato Usa del Texas. All’operazione hanno preso parte l’Fbi, le autorità dei Paesi Bassi, la Procura della Repubblica di Brescia e il Nucleo Speciale Tutela Privacy e Frodi Tecnologiche della guardia di finanza di Roma. Le forze dell’ordine hanno smantellato l’infrastruttura digitale a supporto di Raccoon Infostealer, rendendo offline il malware. Sokolovsky è accusato di cospirazione per commettere frode informatica e attività correlate, cospirazione per commettere frode utilizzando mezzi di comunicazione elettronici, cospirazione per riciclare denaro e furto d’identità aggravato. Il suo Racoon, infatti, più di 50 milioni di dati sensibili in ogni parte del mondo, di cui 4 milioni solo in Italia.
Noto con i soprannomi di raccoonstealer, Photix e black21jack77777, Sokolovsky avrebbe ideato un sistema per il quale il suo malware veniva “affittato” da altri criminali informatici per le modiche cifre di 75 dollari a settimana oppure 200 dollari al mese da pagare in criptovalute. Tecnicamente, il “procione” era quindi un malware-as-a-service, o “MaaS”. Secondo Malpedia Raccoon Infostealer era in grado di raccogliere addirittura “informazioni personali tra cui password, cookie del browser, dati di riempimento automatico, dettagli del criptowallet, indirizzi Ip e geolocalizzazione”.
Erano diversi i modi di utilizzo del Racoon. Tra i più comuni, il download di software liberi, anche camuffando i siti web ufficiali oppure il phishing tramite e-mail, per installare il malware sui personal computer delle ignare vittime. Per sfruttare appieno il malware, però, i criminali avevano bisogno che l’utente scaricasse effettivamente il documento in allegato alla mail che conteneva una “macro” (una serie di comandi che automatizzano funzioni di Word o di Excel ad esempio) dannosa che attivava il procione. Anche per questo motivo gli esperti di sicurezza informatica consigliano di disattivare le macro automatiche.
“Raccoon Infostealer – hanno spiegato dalla guardia di finanza – era così in grado di ottenere i dati personali degli utenti colpiti, comprese le credenziali di accesso, le informazioni finanziarie e altri record personali. Tali informazioni potrebbero peraltro essere state utilizzate per commettere ulteriori reati finanziari o essere state vendute ad altri soggetti per commettere nuovi reati, così come potrebbero essere state scambiate sui forum del Dark Web orientati alla criminalità informatica.
L’Fbi ha raccolto i dati rubati da molti personal computer che erano stati infettati da Raccoon Infostealer, il cui numero esatto deve ancora essere quantificato. Inoltre, gli agenti del Bureau americano hanno identificato più di 50 milioni di credenziali univoche e forme di identificazione (indirizzi e-mail, conti bancari, indirizzi di criptovaluta, numeri di carte di credito, ecc.) tra i dati rubati, ragione per cui si ipotizza che possano esserci milioni di potenziali vittime in tutto il mondo, tra cui anche italiane”. Nel nostro caso, infatti, le credenziali riferite ai soli indirizzi mail sembrano superare i quattro milioni.