Il panorama delle minacce informatiche è in continua evoluzione, e gli hacker stanno sempre trovando nuovi metodi per diffondere malware e ransomware. L’ultima tattica in voga è quella di sfruttare falsi bug di Google Chrome, Microsoft Word e OneDrive per indurre gli utenti a installare malware tramite script di PowerShell.
Gli attacchi in dettaglio
Gli esperti di ProofPoint hanno individuato questa nuova tattica, che è già stata adottata da diversi gruppi di hacker, tra cui ClearFake, ClickFix e TA571. Questi gruppi utilizzano JavaScript in HTML su siti compromessi per mostrare agli utenti errori falsi di Google Chrome, Microsoft Word e OneDrive. Questi messaggi incoraggiano gli utenti a copiare la “correzione” negli appunti e incollarla ed eseguirla manualmente.
Sebbene un attacco riuscito richieda un’interazione significativa da parte dell’utente, l’ingegneria sociale è abbastanza sofisticata da presentare contemporaneamente all’utente un problema e una soluzione, che può motivarlo ad agire senza valutare i rischi.
I payload osservati da Proofpoint in questa campagna includono DarkGate, Matanbuchus, NetSupport, Amadey Loader, XMRig, malware che dirotta gli appunti tramite l’infostealer Lumma.
Gli analisti hanno individuato tre catene di attacchi, che si differenziano soprattutto nelle fasi iniziali. Solo uno di essi non è associabile con certezza al gruppo TA571 sopra menzionato.
Prima catena di attacchi
La prima catena di attacchi è associata agli aggressori dietro gli attacchi ClearFake. Gli utenti si recano su un sito compromesso che scarica uno script dannoso ospitato sulla blockchain tramite Binance Smart Chain.
Questo script esegue diversi controlli e visualizza una notifica falsa, presumibilmente proveniente da Google Chrome, che indica un problema con la visualizzazione della pagina web. La finestra di dialogo richiede quindi di installare il “certificato root” copiando lo script PowerShell negli appunti ed eseguendolo in Windows PowerShell.
Una volta eseguito, lo script esegue vari controlli per garantire che il dispositivo sia un bersaglio adatto, quindi scarica un payload aggiuntivo.
Seconda catena di attacchi
La seconda catena di attacchi è associata alla campagna ClickFix e utilizza iniezioni su siti compromessi che creano iframe per sovrapporre errori falsi. In questo caso, agli utenti viene richiesto di aprire “Windows PowerShell (Admin)” e incollare il codice fornito, che ha lo stesso effetto.
Terza catena di attacchi
La terza catena di attacchi coinvolge la posta elettronica e l’uso di allegati HTML che assomigliano a documenti di Microsoft Word. Qui agli utenti viene chiesto di installare l’estensione Word Online per visualizzare correttamente il documento.
In questo caso, il falso messaggio di errore contiene le opzioni “Come risolvere” e “Correzione automatica”. Inoltre, selezionando l’opzione “Come risolvere” copia il comando PowerShell codificato base64 negli appunti e indica all’utente di incollarlo in PowerShell.
L’opzione di correzione automatica, a sua volta, utilizza il protocollo search-ms per visualizzare un file fix.msi o fix.vbs ospitato sulla condivisione file remota di un hacker utilizzando WebDAV. Cioè, i comandi PowerShell vengono scaricati ed eseguiti tramite un file MSI o tramite uno script VBS, il che porta all’infezione con i malware Matanbuchus e DarkGate.
Come proteggersi
Per proteggersi da questi attacchi, è importante seguire alcune best practice di cybersecurity:
- Mantenere aggiornati i software: Assicurarsi che i software di sicurezza e i browser siano sempre aggiornati all’ultima versione.
- Attenzione alle email sospette: Non aprire allegati o cliccare su link in email sospette o non richieste.
- Utilizzare un antivirus affidabile: Utilizzare un antivirus affidabile e mantenerlo aggiornato.
- Non eseguire script sconosciuti: Non eseguire script o comandi sconosciuti, specialmente se ricevuti tramite email o messaggi di chat.
- Utilizzare la crittografia: Utilizzare la crittografia per proteggere i dati sensibili.
- Effettuare backup regolari: Effettuare backup regolari dei dati importanti.
- Educare il personale: Educare il personale alle best practice di cybersecurity e alla prevenzione delle minacce informatiche.
Seguendo queste best practice, è possibile ridurre significativamente il rischio di infezione da malware e ransomware.
Le minacce informatiche sono in continua evoluzione, e gli hacker stanno sempre trovando nuovi metodi per diffondere malware e ransomware. Sfruttando falsi bug di Google Chrome, Microsoft Word e OneDrive, gli hacker stanno indurre gli utenti a installare malware tramite script di PowerShell. Per proteggersi da questi attacchi, è importante seguire le best practice di cybersecurity e mantenere aggiornati i software di sicurezza e i browser.
Fonte: https://www.redhotcyber.com/post/nuova-truffa-online-falsi-bug-in-chrome-e-word-diffondono-malware/
