I malware distribuiti tramite aggiornamenti falsi del browser: come proteggersi

I malware distribuiti tramite aggiornamenti falsi del browser: come proteggersi

I malware distribuiti tramite aggiornamenti falsi del browser: come proteggersi

Introduzione per l’utente comune

Uno dei metodi più efficaci utilizzati dai cybercriminali per infettare i computer è la creazione di falsi aggiornamenti del browser. Quando visiti un sito web compromesso, potresti visualizzare un avviso che ti chiede di aggiornare il tuo browser (Chrome, Firefox, Edge, ecc.). Questo avviso sembra autentico, ma è in realtà un inganno elaborato progettato per installarti malware.

La soluzione rapida: Non fare mai clic su avvisi di aggiornamento che appaiono durante la navigazione. Gli aggiornamenti legittimi del browser vengono installati tramite le impostazioni ufficiali dell’applicazione o tramite notifiche del sistema operativo, non tramite pop-up su siti web casuali.

Come funzionano questi attacchi

La catena di infezione

Quando accedi a un sito web compromesso, il codice JavaScript maligno iniettato nella pagina si attiva automaticamente. Questo codice reindirizza il tuo browser verso una pagina falsa di aggiornamento che riproduce perfettamente l’interfaccia del tuo browser reale.

Prima di mostrarti la pagina falsa, il malware verifica con un server remoto se dovresti visualizzarla. Questo meccanismo di “controllo del gate” serve a evitare che i ricercatori di sicurezza e gli strumenti di rilevamento identifichino facilmente l’attacco.

La personalizzazione dell’inganno

Ciò che rende questi attacchi particolarmente insidiosi è la personalizzazione. Lo script maligno esamina il tuo browser leggendo la stringa “userAgent” del tuo dispositivo. In base a questa informazione, lo script identifica se stai utilizzando Chrome, Firefox, Edge, Opera o un altro browser.

Successivamente, il malware modifica dinamicamente la pagina falsa per mostrare:

  • Il logo esatto del tuo browser
  • Il nome del tuo browser nella lingua che stai utilizzando
  • Testo e interfaccia localizzati nella tua lingua

Questa personalizzazione rende l’inganno estremamente convincente. Vedi il logo di Chrome se usi Chrome, il logo di Firefox se usi Firefox, e tutto è nella tua lingua madre.

I pericoli dei malware moderni

Furti di dati sensibili

I malware distribuiti tramite questi metodi non si limitano a infettare il tuo computer. Molti di essi sono progettati specificamente per rubare informazioni sensibili, tra cui:

  • Password salvate nel browser
  • Numeri di carte di credito
  • Dati di criptovalute e portafogli digitali
  • Cookie di sessione e token di autenticazione
  • Informazioni personali e documenti

Tecniche di occultamento sofisticate

I malware moderni utilizzano tecniche avanzate per evitare il rilevamento. Una delle più sofisticate è la codifica a strati multipli. Alcuni malware recenti contengono fino a 70 livelli di codice offuscato, dove ogni livello deve essere decodificato per rivelare il successivo. Questo processo rende estremamente difficile per i ricercatori di sicurezza analizzare il codice maligno.

Persistenza e esecuzione automatica

Una volta installati, questi malware creano attività pianificate che si eseguono automaticamente a intervalli regolari (spesso ogni minuto). Monitorano cartelle specifiche sul tuo computer e, quando rilevano determinati marcatori, si connettono a server controllati dagli attaccanti per ricevere ulteriori istruzioni.

Segnali di allarme da riconoscere

Per proteggerti, impara a riconoscere questi segnali di allarme:

  • Avvisi di aggiornamento inaspettati: Gli aggiornamenti legittimi non appaiono come pop-up durante la navigazione
  • Urgenza artificiale: I messaggi falsi spesso enfatizzano l’urgenza per spingerti ad agire rapidamente senza pensare
  • Reindirizzamenti strani: Se vieni reindirizzato improvvisamente a una pagina di aggiornamento, chiudi il browser
  • URL sospetti: Controlla l’indirizzo web nella barra degli indirizzi. Le pagine false spesso hanno URL leggermente diversi da quelli ufficiali
  • Richieste di informazioni personali: Gli aggiornamenti ufficiali non chiedono mai password, numero di carta o altre informazioni sensibili

Misure di protezione consigliate

Per gli utenti individuali

  1. Mantieni aggiornato il tuo sistema operativo: Gli aggiornamenti di sicurezza di Windows, macOS o Linux risolvono vulnerabilità che i malware sfruttano

  2. Usa un software antivirus affidabile: Installa e mantieni aggiornato un programma antivirus rispettabile che possa rilevare e rimuovere malware

  3. Abilita gli aggiornamenti automatici: Configura il tuo browser e il tuo sistema operativo per scaricare e installare aggiornamenti automaticamente

  4. Sii scettico verso gli avvisi pop-up: Se vedi un avviso di aggiornamento durante la navigazione, non fare clic. Invece, vai manualmente alle impostazioni del tuo browser per controllare gli aggiornamenti

  5. Utilizza un gestore di password: Questo riduce la necessità di ricordare e digitare password, riducendo il rischio che vengano rubate

  6. Naviga con cautela: Evita siti web sospetti o illegittimi che potrebbero essere compromessi

Per le organizzazioni

Le aziende dovrebbero implementare:

  • Politiche di aggiornamento centralizzate che distribuiscono gli aggiornamenti dei browser tramite strumenti di gestione, non tramite il browser stesso
  • Monitoraggio delle estensioni del browser per rilevare e rimuovere estensioni non autorizzate
  • Script di rilevamento che identificano tutte le estensioni installate e le confrontano con un elenco di estensioni approvate
  • Formazione sulla sicurezza informatica per i dipendenti, con enfasi sul riconoscimento degli attacchi di social engineering
  • Soluzioni di endpoint detection and response (EDR) che monitorano il comportamento sospetto del sistema

Technical Deep Dive

Meccanismo di consegna del payload

La catena di infezione segue generalmente questo modello:

Fase 1 – Iniezione JavaScript: Il sito compromesso contiene JavaScript maligno che si esegue nel contesto del browser dell’utente. Questo script esegue una richiesta GET a un server controllato dall’attaccante per verificare se l’utente deve essere targetizzato.

Fase 2 – Personalizzazione e reindirizzamento: Dopo la verifica, lo script analizza la stringa userAgent per determinare il browser e il sistema operativo. Decodifica un logo Base64 corrispondente al browser rilevato e modifica dinamicamente il DOM per inserire il logo e il testo localizzato.

Fase 3 – Consegna del payload: La pagina falsa fetcha un PHP script (get_download_file_name.php) dal server dell’attaccante, che fornisce il URL di download del malware vero e proprio.

Offuscamento e evasione

I malware moderni utilizzano multiple tecniche di offuscamento:

  • Codifica Base64 ricorsiva: Il payload è codificato in Base64, decodificato e poi codificato di nuovo, creando strati multipli
  • Compressione zlib: Dopo la decodifica Base64, il payload è compresso con zlib, aggiungendo un ulteriore strato di offuscamento
  • Esecuzione in memoria: Il malware si decodifica solo a runtime, evitando di lasciare codice maligno facilmente rilevabile su disco
  • Esclusione da antivirus: Gli script PowerShell creano attività pianificate che escludono il processo PowerShell e la directory corrente dalle scansioni di Microsoft Defender

Raccolta dati e esfiltrazione

Una volta eseguito, il malware raccoglie dati da:

  • Browser: Chrome, Chromium, Brave, Opera, Edge, Slimjet e altri browser basati su Chromium
  • Credenziali: Password salvate, cookie di sessione, token di autenticazione
  • Sistema: Informazioni sul proprietario registrato, software installato, indirizzi email, BIOS, processore, memoria, GPU
  • Dati sensibili: File da cartelle specifiche, dati di criptovalute, informazioni bancarie

I dati raccolti sono strutturati in hash table annidati, convertiti in JSON e inviati via HTTP POST ai server C2 (Command and Control) dell’attaccante.

Persistenza e callback

Il malware stabilisce persistenza creando:

  • Attività pianificate di Windows: Script che si eseguono a intervalli regolari (spesso ogni minuto)
  • Monitoraggio di marker: Il malware cerca file con estensioni specifiche (come .normaldaki) in cartelle predefinite
  • Callback ai server C2: Quando vengono rilevati i marker, il malware si connette ai server controllati dall’attaccante per ricevere comandi aggiuntivi
  • Fallback multipli: Se il server primario non risponde, il malware tenta di connettersi a server di backup, aumentando la resilienza dell’infezione

Indicatori di compromissione (IOCs)

I ricercatori di sicurezza hanno identificato i seguenti IOCs associati a questi attacchi:

  • Domini C2 come cdn.findfakesnake.xyz e flowers.hold-me-finger.xyz
  • Nomi di attività pianificate come f90g30g82
  • Estensioni di file marker come .normaldaki
  • Pattern di codice specifici nelle stringhe Base64 decodificate
  • Comportamenti di sistema come la creazione di attività pianificate senza intervento dell’utente

Gli amministratori di sicurezza dovrebbero monitorare i loro ambienti per questi IOCs e implementare regole di rilevamento basate su questi pattern.

Fonte: https://www.securityweek.com/faked-captcha-malware-delivery/

Potrebbero interessarti

Inizia a scrivere e premi Invio per cercare

Torna in alto