Che cos'è un download drive-by?

25 Marzo 2025

Gli attacchi drive-by download rappresentano un rischio significativo per tutti gli utenti di Internet, da amministratori web per i browser occasionali. I criminali informatici incorporare discretamente codice exploit all'interno di pagine web o annunci pubblicitari apparentemente innocui, spesso causando danni ingenti prima di essere rilevati.

Che cosa è un download drive-by?

Che cos'è un download drive-by?

Un download drive-by è un metodo di il malware installazione che avviene quando un utente visita, clicca o interagisce con un sito compromesso sito web ufficialeGli aggressori piantano nascosti script nei normali contenuti web, come banner pubblicitari o codice del sito, per rilevare vulnerabilità in browser, plug-in o sistemi operativi.

Una volta che lo script trova una debolezza, invia rapidamente un payload. Gli utenti raramente notano l'intrusione perché il codice dannoso si integra perfettamente nel sito, consentendo alle infezioni di verificarsi senza approvazione diretta o alcun avviso visibile. Inoltre, i download drive-by si basano su tecniche di evasione avanzate che mascherano gli script dannosi in normali elementi web, il che li rende estremamente difficili da rilevare con un'osservazione casuale o strumenti di sicurezza obsoleti.

Come funziona un download drive-by?

I download drive-by si basano su script exploit nascosti che vengono eseguiti nel momento in cui una pagina web viene caricata nel browser di un visitatore. Questi script sondano Software, versioni dei plugin e dettagli del sistema operativo per identificare le debolezze note. Quando rilevano un difetto sfruttabile, il codice attiva un processo automatizzato che installa malware. Questo processo spesso include reindirizzamenti a exploit esterni servers, che preparano un payload personalizzato per l'ambiente software specifico della vittima.

Gli aggressori utilizzano anche il malvertising, un metodo per distribuire pubblicità dannose tramite reti pubblicitarie altrimenti legittime, per incanalare utenti ignari verso pagine di exploit. Poiché l'infezione avviene automaticamente e senza l'input dell'utente, spesso gli obiettivi vengono a conoscenza della compromissione solo dopo gravi interruzioni del sistema, violazioni dei datio segni di controllo non autorizzato.

Tipi di download drive-by

Gli aggressori utilizzano un'ampia gamma di metodi quando distribuiscono download drive-by. Ogni approccio sfrutta diverse vulnerabilità o Ingegneria sociale tattiche.

Download drive-by di Exploit Kit

Kit di exploit offrono strumenti preconfezionati che identificano e sfruttano rapidamente le vulnerabilità del browser, dei plugin o del sistema operativo. Gli hacker incorporano questi kit in siti Web compromessi o appena creati. Dopo che un visitatore atterra su una di queste pagine con trappole esplosive, l'exploit kit verifica la presenza di una falla di sicurezza, esegue l'exploit corrispondente e rilascia immediatamente il malware sul sistema di destinazione. Molti exploit kit includono offuscamento avanzato o sandbox- routine di evasione, che consentono loro di aggirare i programmi antivirus convenzionali finché gli sviluppatori non risolvono le debolezze sfruttate.

Malvertising Drive-by Download

Il malvertising si basa sull'iniezione di codice dannoso in annunci pubblicati tramite reti pubblicitarie affidabili. Quando siti Web popolari visualizzano questi annunci infetti, i visitatori caricano inconsapevolmente script nascosti che scandagliano i loro sistemi alla ricerca di vulnerabilità. Il reindirizzamento a un dominio o exploit controllato dall'aggressore server spesso avviene dietro le quinte, quindi gli utenti vedono poca o nessuna differenza rispetto a un annuncio standard. Queste campagne si evolvono regolarmente e ruotano verso nuovi obiettivi una volta che gli analisti della sicurezza bloccano gli annunci dannosi noti.

Trojan Dropper Drive-by Download

Trojan i dropper si mascherano da utility legittime o estensioni del browser. Gli individui installano questi strumenti aspettandosi funzionalità utili, ma il dropper introduce silenziosamente malware nel sistema. Gli aggressori distribuiscono comunemente i dropper Trojan tramite pop-up ingannevoli che dichiarano aggiornamenti software urgenti o miglioramenti gratuiti delle prestazioni. Una volta installato, il dropper Trojan può scaricare payload aggiuntivi, iniettare processi dannosi nel sistema operativo o rimuovere le protezioni del sistema, aprendo la porta a ulteriori compromessi.

Attacco al Watering Hole Drive-by Download

Gli attacchi watering hole si concentrano sui siti Web visitati frequentemente dai membri di un'organizzazione, di un settore o di una fascia demografica specifica. Gli aggressori compromettono questi hub ad alto traffico inserendo script dannosi o manomettendo il sito codebase. Gli utenti con vulnerabilità non corrette che visitano questi siti rischiano un'infezione immediata. Gli aggressori spesso riservano le tattiche di watering hole a operazioni mirate, come lo spionaggio aziendale o gli attacchi alle agenzie governative, a causa dell'ampia ricerca richiesta per identificare e compromettere un sito ben scelto.

Esempi di download drive-by

Di seguito sono riportate alcune campagne e strumenti noti che dimostrano la varietà e la complessità dei download drive-by.

Kit di exploit del pescatore

Gli aggressori hanno utilizzato Angler per distribuire ransomware e trojan bancari sfruttando zero-day vulnerabilità del browser. Le pubblicità compromesse sui siti Web più popolari hanno agito come la principale attacco vettoriale, reindirizzando silenziosamente gli utenti a landing page dannose. Angler ha guadagnato notorietà per i suoi rapidi adattamenti e per aver utilizzato tecniche di offuscamento all'avanguardia.

Kit di exploit del buco nero

Blackhole è diventato famoso per la sua capacità di incorporare nuovi exploit subito dopo che i ricercatori hanno rivelato nuove falle di sicurezza, in particolare in Java e Adobe Flash. I suoi operatori monitoravano attivamente gli annunci di vulnerabilità e li integravano nel kit nel giro di giorni o addirittura ore. Le infezioni su larga scala spesso provenivano da siti ad alto traffico in cui annunci compromessi o codice iniettato indirizzavano i visitatori alla landing page di Blackhole.

Kit di exploit di magnitudo

Magnitude si è specializzata nella distribuzione di payload ransomware concentrandosi sugli utenti con browser o plugin obsoleti. I suoi operatori hanno condotto campagne di malvertising che hanno inserito annunci infetti su siti Web legittimi. I visitatori che hanno caricato questi annunci hanno automaticamente attivato i controlli degli exploit, che hanno installato malware se gli script hanno individuato una vulnerabilità non corretta. I creatori di Magnitude hanno perfezionato il kit ripetutamente per evitare il rilevamento, rendendolo una minaccia persistente per molti anni.

Pop-up di aggiornamento Flash falsi

Gli aggressori hanno inserito falsi messaggi di aggiornamento su siti compromessi o hanno utilizzato annunci pop-up che chiedevano agli utenti di scaricare e installare l'"ultimo aggiornamento Flash". Questi prompt sembravano autentici, imitando gli avvisi ufficiali di aggiornamento di Adobe. Tuttavia, gli "aggiornamenti" installati spyware or accesso remoto trojan, che garantiscono agli aggressori un controllo duraturo sul computer della vittima. Molti utenti sono caduti in queste tattiche perché i pop-up mostravano loghi di marchi e schemi di colori che sembravano legittimi.

Estensioni del browser dannose

Alcuni attori malintenzionati si sono spacciati per sviluppatori di utili componenti aggiuntivi per browser, come ad blocker, coupon finder o strumenti di produttività. In realtà, queste estensioni funzionavano come backdoor o keylogger che registravano le sequenze di tasti, catturavano schermate e ottenevano privilegi di sistema di alto livello. Le vittime spesso notavano comportamenti insoliti del browser, come reindirizzamenti non autorizzati o pop-up spam, solo dopo che si erano verificati gravi danni.

Come possono i proprietari di siti web prevenire gli attacchi drive-by download?

Ecco alcune pratiche di sicurezza che riducono il rischio di compromissione da parte di un attacco drive-by download:

  • Strict gestione delle patch. Installare proattivamente il sistema operativo, sito web server, CMSe aggiornamenti dei plugin per rimuovere vulnerabilità note. Gli aggressori prendono di mira comunemente le versioni più vecchie perché gli exploit pubblicati diventano ampiamente disponibili.
  • Partner pubblicitari sicuri. Lavora solo con reti pubblicitarie che verificano rigorosamente le campagne e applicano rigide linee guida per bloccare gli script dannosi. Insisti su processi di verifica trasparenti e tempo reale monitoraggio delle minacce per ridurre al minimo i rischi di malvertising.
  • Firewall per applicazioni Web (WAF). Implementa soluzioni WAF che analizzano il traffico web in entrata per individuare pattern dannosi. I WAF opportunamente configurati individuano i tentativi di exploit, bloccano le richieste sospette e notificano agli amministratori quando si presentano minacce.
  • Regolari valutazioni di sicurezza. Pianificare frequentemente prove di penetrazione scansioni di vulnerabilità per scoprire i difetti nascosti prima che lo facciano gli aggressori. Impiega professionisti della sicurezza qualificati che conoscano l'architettura del tuo sito e possano fornire misure di correzione personalizzate.
  • Server tempra. Rimuovi servizi o programmi non necessari che gli aggressori spesso prendono di mira. Imponi rigide autorizzazioni utente, implementa file system protezioni e distribuire sistemi di rilevamento delle intrusioni che attivano gli avvisi in tempo reale.
  • Revisione continua del codice. Monitorare tutti i cambiamenti di script e codice per garantire che non si verifichino modifiche non autorizzate. Traccia filetto integrità, mantenere il controllo della versione e confrontare il codice corrente con linee di base attendibili per rilevare comportamenti sospetti.

Come possono gli utenti finali prevenire gli attacchi drive-by download?

Ecco i passaggi che gli utenti finali possono seguire per ridurre l'esposizione agli attacchi drive-by download:

  • Aggiornamenti software frequenti. Mantieni aggiornati i browser, i sistemi operativi e i plugin con le ultime novità patchGli aggressori spesso danno priorità agli exploit per programmi non aggiornati o privi di patch, quindi gli aggiornamenti rapidi eliminano tali opportunità.
  • Impostazioni di sicurezza del browser. Attiva funzionalità come i blocchi popup, l'isolamento del sito e il blocco automatico dei download dannosi. Regolare le impostazioni di sicurezza a livelli più rigorosi aiuta a impedire che gli script vengano eseguiti silenziosamente in background.
  • Strumenti anti-malware robusti. Installare e mantenere un software di sicurezza affidabile che fornisca scansione in tempo reale, analisi euristica e protezione contro phishing siti web. Controlla regolarmente che tutte le funzionalità difensive rimangano abilitate e aggiornate.
  • Evita contenuti ad alto rischio. Evita di navigare su siti poco raccomandabili o di scaricare materiale pirata. Molti download drive-by provengono da piattaforme note per la diffusione di contenuti illegali o per adulti, dove gli aggressori piantano facilmente codice dannoso.
  • Limitare plugin ed estensioni. Disinstalla tutti i plugin o le estensioni del browser che non utilizzi attivamente. Ogni componente aggiuntivo installato fornisce un altro possibile punto di ingresso per gli aggressori. Una revisione costante dell'elenco delle estensioni aiuta a limitare l'esposizione.
  • Verifica tutti i download. Conferma l'autenticità dei file scaricati controllando le firme digitali o utilizzando i siti ufficiali dei fornitori. Gli aggressori confezionano regolarmente payload dannosi come applicazioni o aggiornamenti popolari per adescare utenti ignari.
Nikola
Kostico
Nikola è uno scrittore esperto con una passione per tutto ciò che riguarda l'alta tecnologia. Dopo aver conseguito una laurea in giornalismo e scienze politiche, ha lavorato nel settore delle telecomunicazioni e dell'online banking. Attualmente scrivo per phoenixNAP, è specializzato nell'analisi di questioni complesse relative all'economia digitale, all'e-commerce e alla tecnologia dell'informazione.