Cosa è uno script
Innanzitutto, cosa si intende per ‘script’?
Si tratta di un tipo di programma informatico composto da una sequenza di istruzioni.
Queste sono solitamente interpretate dal sistema operativo (è il caso dei cosiddetti shell script che possono essere eseguiti anche automaticamente all’avvio del computer) ma possono eventualmente essere interpretate da un altro programma (è il caso degli script eseguiti da pagine web).
Per semplificare, in genere gli script vengono utilizzati per automatizzare dei processi del sistema operativo o di una certa applicazione.
Un esempio?
Se un nostro cliente acquista 5 nuovi PC, noi dovremmo configurarli manualmente uno ad uno, impiegando un bel po’ di tempo.
Invece grazie agli script, che vengono veicolati dal nostro programma di gestione e monitoraggio, possiamo pre-installare dei software standard come Google Chrome, Adobe Reader e il pacchetto Office su tutti e 5 i computer allo stesso tempo, semplicemente eseguendo un comando.
Inoltre, possiamo decidere di pianificare l’esecuzione di quel comando ad un orario ben preciso, per esempio quando il cliente è in pausa pranzo, così da ottimizzare i tempi sia per noi che per lui.
Bello, vero?
Tuttavia, non tutti gli script sono a fin di bene.
Gli script malevoli
Normalmente gli antivirus analizzano i file presenti sull’hard disk e se fra questi individuano un malware, lo mettono in quarantena o lo rimuovono mantenendo il PC sicuro.
Perciò, per aggirare i controlli degli antivirus, i cybercriminali hanno iniziato ad utilizzare gli script.
Questi possono avere il compito di scaricare un codice malevolo dalla rete senza però salvarlo sulla memoria persistente del computer della vittima, svolgendo tutte le operazioni nella memoria RAM.
In pratica, se il computer venisse spento, il codice malevolo, che non è salvato da nessuna parte sul disco, sparirebbe semplicemente.
In questi casi un antivirus tradizionale, che si limita a controllare i files salvati sul disco che sono mandati in esecuzione, non si accorge mai della presenza del codice malevolo perché la sola cosa salvata sul disco è lo script.
Inoltre, gli hacker mascherano questi script malevoli per renderli all’apparenza “innocenti” e simili a operazioni abitualmente eseguite dai sistemi operativi, così da rendere ancor più difficile rilevarli.
Potrà sembrarti che stia parlando di fantascienza, ma non è così.
Un caso recente
Infatti, alcuni giorni fa, è successo proprio ad un nostro cliente di imbattersi in uno script malevolo.
L’antivirus che noi di norma forniamo è all’avanguardia in quanto tramite l’intelligenza artificiale riesce a rilevare minacce sempre nuove e possiede anche la funzionalità di monitoraggio degli script.
Quindi se per caso rileva uno script che non gli piace, lo blocca.
Alcuni giorni fa il nostro sistema di monitoraggio ci ha allertati che l’antivirus bloccava degli script sul PC del nostro cliente una volta ogni ora.
A seguito di indagini più approfondite abbiamo visto che lo stesso script veniva salvato con un codice variato ogni volta e con nomi sempre diversi.
Essendo un comportamento sospetto per uno script - non poteva certo essere una semplice operazione di sistema - abbiamo chiesto al cliente di lasciare libera la sua postazione e da remoto ne abbiamo eliminate manualmente tutte le tracce di modo che non si ripresentasse.
Ma cosa avrebbe fatto questo script?
C’è un’alta probabilità che avrebbe scaricato un ransomware o un keylogger. Oppure avrebbe reso il computer membro di una botnet per attività criminali.
(Se non sai di cosa sto parlando leggi l’articolo che avevo scritto in precedenza “9 tipi di malware che forse non conoscevi”.)
Sono molto contento di non saperlo con certezza, perché altrimenti il cliente, seppur munito di un ottimo sistema di backup, avrebbe avuto dei disagi, per esempio per i tempi di ripristino.
Lavorare in maniera proattiva, avvalendosi di un sistema di monitoraggio centralizzato e intervenendo prima che sia tardi, non è il miglior modo di agire, ma l’unico modo proponibile nel 2021.