Falsi errori di Google Chrome che ti indurranno a eseguire script PowerShell dannosi

Falsi errori di Google Chrome che ti indurranno a eseguire script PowerShell dannosi

Falsi errori Google Chrome: in una nuova campagna di distribuzione di malware, i cybercriminali stanno sfruttando falsi errori di Google Chrome, Word ed OneDrive per ingannare gli utenti a eseguire script PowerShell dannosi, che installano malware sulle loro macchine. Questa tattica è stata osservata in uso da diversi gruppi di minacce, tra cui ClearFake, un nuovo cluster di attacco chiamato ClickFix e il gruppo TA571, noto per operare come distributore di spam che invia grandi volumi di email, portando a infezioni da malware e ransomware.

Come funziona la campagna di malware

Precedenti attacchi di ClearFake utilizzano sovrascritture di siti web che invitano i visitatori a installare un aggiornamento del browser falso che installa malware. Tuttavia, nella nuova campagna, i criminali informatici stanno utilizzando JavaScript in allegati HTML e siti web compromessi per visualizzare falsi errori di Google Chrome, Microsoft Word ed OneDrive. Questi errori inducono gli utenti a fare clic su un pulsante per copiare un presunto script PowerShell “correzione” nell’appuntino e quindi incollarlo ed eseguirlo in una finestra di dialogo “Esegui” o in una finestra di PowerShell.

“Anche se la catena di attacco richiede una significativa interazione dell’utente per avere successo, l’ingegneria sociale è abbastanza intelligente da presentare qualcosa che sembra un problema reale e una soluzione contemporaneamente, il che potrebbe indurre un utente ad agire senza considerare il rischio”, avverte un nuovo rapporto di Proofpoint.

I payload visti da Proofpoint includono DarkGate, Matanbuchus, NetSupport, Amadey Loader, XMRig, un hijacker del clipboard e Lumma Stealer.

I tre diversi attacchi

Gli analisti di Proofpoint hanno osservato tre diversi attacchi che differiscono principalmente nelle loro fasi iniziali, con solo il primo che non è attribuito con alta fiducia a TA571.

Primo attacco: compromissione del sito web

Nel primo caso, associato agli attori delle minacce dietro ClearFake, gli utenti visitano un sito web compromesso che carica uno script dannoso ospitato sulla blockchain tramite i contratti intelligenti della blockchain di Binance. Questo script esegue alcuni controlli e visualizza un falso avviso di Google Chrome che indica un problema nella visualizzazione della pagina web. Il dialogo quindi invita l’utente a installare un “certificato radice” copiando uno script PowerShell nell’appuntino di Windows ed eseguendolo in una console di Windows PowerShell (Admin).

Quando lo script PowerShell viene eseguito, esegue varie operazioni per confermare che il dispositivo sia un bersaglio valido e quindi scarica ulteriori payload, come descritto di seguito.

  • Pulisce la cache DNS.
  • Cancella il contenuto dell’appuntino.
  • Visualizza un messaggio di finestra di dialogo falso.
  • Scarica un altro script PowerShell remoto, che esegue controlli anti-VM prima di scaricare un info-stealer.

Secondo attacco: iniezione di siti web compromessi

Il secondo attacco è associato alla campagna “ClickFix” e utilizza un’iniezione in siti web compromessi che crea un iframe per sovrapporre un altro falso avviso di Google Chrome. Agli utenti viene chiesto di aprire “Windows PowerShell (Admin)” e incollare il codice fornito, portando alle stesse infezioni menzionate in precedenza.

Terzo attacco: infezione tramite email

Un terzo attacco utilizza una catena di infezione basata su email che utilizza allegati HTML che assomigliano a documenti di Microsoft Word. Gli utenti vengono invitati a installare l’estensione “Word Online” per visualizzare correttamente il documento. L’errore offre opzioni “Come correggere” e “Correzione automatica”, con “Come correggere” che copia un comando PowerShell codificato base64 nell’appuntino, istruendo l’utente a incollarlo in PowerShell. “Correzione automatica” utilizza il protocollo search-ms per visualizzare un file “fix.msi” o “fix.vbs” ospitato su un file share remoto controllato dall’attaccante.

In tutti i casi, i criminali informatici sfruttano la mancanza di consapevolezza degli utenti sui rischi dell’esecuzione di comandi PowerShell sui loro sistemi e l’incapacità di Windows di rilevare e bloccare le azioni malevole iniziate dal codice incollato.

Come proteggersi

Per proteggersi da questi attacchi, gli utenti dovrebbero seguire alcune best practice di sicurezza di base, tra cui:

  1. Mantenere aggiornato il software: Assicurati che il tuo software, inclusi browser web e sistemi operativi, sia aggiornato con le patch di sicurezza più recenti.
  2. Utilizzare un software antivirus affidabile: Un software antivirus affidabile può rilevare e bloccare script e payload dannosi.
  3. Essere consapevoli degli errori del browser: Se ricevi un avviso di errore del browser, verifica la sua autenticità prima di intraprendere qualsiasi azione.
  4. Evitare di eseguire script o comandi sconosciuti: Non eseguire script o comandi sconosciuti sul tuo sistema, a meno che non sia assolutamente necessario e tu sia sicuro della loro provenienza.
  5. Educare gli utenti sulla sicurezza informatica: I dipendenti e gli utenti devono essere istruiti sulla sicurezza informatica e sulle minacce più recenti, inclusi i rischi associati all’esecuzione di script o comandi sconosciuti.
  6. Implementare la segmentazione della rete: La segmentazione della rete può aiutare a limitare la diffusione di malware all’interno della rete aziendale.
  7. Monitorare attentamente la rete: Monitorare attentamente la rete per rilevare e rispondere rapidamente a qualsiasi attività sospetta o non autorizzata.

Seguendo queste best practice, gli utenti possono ridurre il rischio di infezioni da malware e proteggere i propri sistemi e dati.

Fonte: https://www.bleepingcomputer.com/news/security/fake-google-chrome-errors-trick-you-into-running-malicious-powershell-scripts/

Potrebbero interessarti

Inizia a scrivere e premi Invio per cercare

Torna in alto