Come un’Estensione Chrome Malvagia Rompe Il Sandbox Del Browser E Infetta Il PC
Attenzione immediata: Se ricevi email insospettabili con l’oggetto “Fattura” o “Invoice” che promettono documenti PDF, non scaricare mai gli allegati e non cliccare sui link. La soluzione più rapida per proteggersi è disabilitare le estensioni Chrome non necessarie e verificare le policy aziendali del browser nelle impostazioni. Questo attacco pericoloso sfrutta funzioni legittime di Chrome per infettare i tuoi computer, ma con un po’ di attenzione puoi bloccarlo immediatamente.
Gli esperti di cybersecurity hanno scoperto una campagna malware estremamente sofisticata che sta ingannando gli utenti italiani per infettare i loro computer Windows. A differenza dei tradizionali virus che cercano di bypassare le difese con codice complesso, questo attacco è intelligente perché sfrutta funzioni legittime e ampiamente utilizzate di Google Chrome, come le policy aziendali e l’API Native Messaging, per rompere il “sandbox” del browser. Il sandbox è la barriera di sicurezza che mantiene le estensioni del browser isolate dal resto del sistema operativo, impedendo che eseguan comandi dannosi sul tuo PC. Rompere questa barriera significa che gli hacker possono controllare il tuo computer, eseguire comandi PowerShell, rubare le tue password, i cookie di navigazione e persino i dati delle sessioni aperte, facilitando il furto di identità e l’hijacking delle sessioni.
La campagna inizia con un phishing mirato in lingua italiana. Gli hacker inviano email brevi che sembrano provenire da un ufficio contabile o da un fornitore, con l’oggetto “Fattura #2818999851”. Il messaggio promette che un documento PDF con una fattura pronta è disponibile per il download. Quando l’utente clicca per scaricare il file, non riceve effettivamente un PDF, ma un file JavaScript obfuscated con un nome ingannevole, come “Fattura-2819889242.pfd.js”. Questo nome è progettato per apparire come un file PDF (.pdf) quando guardato rapidamente, ma il sistema operativo lo riconosce come un script eseguibile. Una volta eseguito, questo script decodifica e scrive due file nella directory temporanea del utente: un file eseguibile firmato legittimamente da Epic Games e un DLL dannoso (d3d11.dll) creato dagli hacker.
Il vero inganno si manifesta quando il file eseguibile legittimo di Epic Games viene utilizzato per caricare il DLL dannoso tramite una tecnica chiamata “DLL side-loading”. Invece di eseguire il suo compito normale, il programma legittimo carica il file DLL controllato dagli hacker, che a sua volta avvia un processo PowerShell nascosto. Questo processo PowerShell è la chiave per la diffusione dell’attacco. Utilizzando PowerShell, l’hacker installa silenziosamente un estensione Chrome malvagia chiamata “Cloud vn105rkj64”. Per assicurarsi che l’estensione non venga bloccata o eliminata, l’attacco modifica le policy aziendali di Chrome, in particolare le chiavi ExtensionInstallAllowlist e ExtensionInstallSources, facendo apparire l’estensione come un componente installato e approvato dall’administratore del sistema. Questo rende l’estensione molto difficile da rimuovere per l’utente finale.
Le estensioni Chrome, per loro stessa natura, non possono eseguire comandi locali o processi sul sistema operativo; sono limitate al sandbox del browser. Tuttavia, gli hacker hanno sfruttato una funzionalità legittima di Chrome chiamata Native Messaging. Questa funzione è progettata per permettere alle estensioni di comunicare con applicazioni native installate sul computer, utile per strumenti legittimi come i gestori di password. Gli hacker hanno creato un Host Native Messaging dannoso (com.vn105rkj64.tr7qprrt7g) con un manifesto che punta a un eseguibile locale. Collegando l’estensione malvagia a questo host tramite un canale stdio, l’estensione può inviare comandi JSON all’host, che esegue i comandi PowerShell e ritorna i risultati. In questo modo, l’estensione Chrome diventa un backdoor per comandi remoti, permettendo agli hacker di controllare il tuo computer, eseguire liste di directory, rubare dati e inviare comandi arbitrari, tutto attraverso il browser in modo apparentemente sicuro e legittimo.
L’attacco è particolarmente pericoloso perché ruba una vasta gamma di dati sensibili. I dati esfiltrati includono cookie di Google, tab aperti, URL visitati, user-agent del browser, impostazioni di lingua e un identificatore stabile del utente. Questi dati sono sufficienti per hijackare le sessioni degli utenti e per il profiling, permettendo agli hacker di accedere a account personali, servizi bancari e risorse aziendali senza bisogno di password. Inoltre, l’attacco può eseguire comandi di directory list sulla cartella C:, dimostrando che il backdoor è interattivo e non solo un semplice strumento di furto di informazioni. Gli hacker si connettono a un server di comando e controllo (C2) all’indirizzo ext2[.]info, utilizzando richieste POST HTTPS per inviare comandi e ricevere dati, complicando ulteriormente la rilevazione e la risposta agli incidenti.
La rilevanza di questa tecnica è enorme per la sicurezza informatica moderna. Ogni componente abusato è legittimo e ampiamente utilizzato nel mondo: i binari firmati possono essere caricati lateralmente, le aziende possono inviare estensioni tramite policy, e Native Messaging esiste per integrazioni legittime. Combinando questi elementi, gli hacker ripristinano la capacità dell’estensione di influenzare il sistema operativo host, mantenendo una presenza apparentemente sicura nel browser e comunicazioni HTTPS, rendendo la rilevazione estremamente difficile per i sistemi di sicurezza tradizionali. I defender devono quindi essere vigili e controllare le policy aziendali di Chrome inaspettate, le chiavi ExtensionInstallSources e enumerare gli host di Native Messaging. È fondamentale monitorare eventi come la compilazione di csc.exe, processi PowerShell nascosti, modifiche alle chiavi di policy di Chrome e segnali di side-loading di DLL.
La risposta agli incidenti non deve fermarsi alla semplice rimozione dell’estensione. I team devono disregistrare e eliminare l’Host Native Messaging, rimuovere gli eseguibili e i DLL dannosi, esaminare i log di PowerShell, invalidare le sessioni browser esposte e ruotare le credenziali dove i cookie o le sessioni potrebbero essere stati hijackati. Questo approccio completo è essenziale per garantire che l’attacco non si ripresenta e che i dati sensibili non siano ulteriormente compromessi.
Technical Deep Dive
Per gli utenti tecnici e gli esperti di sicurezza, ecco un’analisi dettagliata dei meccanismi specifici dell’attacco e degli indicatori di compromissione (IOCs) per la rilevazione e la mitigazione.
Meccanismo di Attacco Dettagliato
- Iniziazione via Phishing: L’attacco inizia con email di phishing in italiano con l’oggetto “Fattura #2818999851”. Il file allegato è un script JavaScript obfuscated (Fattura-2819889242.pfd.js) che decodifica e scrive un eseguibile firmato (Epic Games) e un DLL dannoso (d3d11.dll) nella directory temporanea.
- DLL Side-Loading: L’eseguibile firmato carica il DLL dannoso, che avvia un processo PowerShell nascosto. Questo è un classico esempio di abuse di binari firmati per eludere la sicurezza.
- Installazione Silenziosa dell’Estensione: PowerShell installa l’estensione Chrome “Cloud vn105rkj64” (ID: gghagmhimhgfeajfdmjkgmmehbokmglg) e modifica le policy aziendali di Chrome (
ExtensionInstallAllowlist,ExtensionInstallSources) per far apparire l’estensione come installata dall’administratore. - Sfruttamento di Native Messaging: L’estensione si collega a un Host Native Messaging dannoso (com.vn105rkj64.tr7qprrt7g) tramite un canale stdio. Questo permette l’esecuzione di comandi PowerShell e il ritorno dei risultati, creando un backdoor interattivo.
- Esfiltrazione di Dati: L’attacco esfiltra cookie di Google, tab aperti, URL, user-agent, impostazioni di lingua e un identificatore stabile del utente, permettendo hijacking di sessioni e profiling.
- Comando e Controllo (C2): L’estensione si connette a un server C2 (
ext2[.]info) utilizzando richieste POST HTTPS per inviare comandi e ricevere dati.
Indicatori di Compromissione (IOCs)
| Categoria | Valore | Descrizione |
|---|---|---|
| Oggetto Email | Fattura #2818999851 | Lure di fattura italiana |
| Nome File Visualizzato | Fattura-26189991026.pdf | Nome file visualizzato nell’email |
| Nome File Payload | Fattura-2819889242.pfd.js | Script JavaScript obfuscated Windows |
| MD5 Payload | 61f07213f2e54c54ec379714fd211c73 | MD5 del payload JavaScript iniziale |
| SHA-1 Payload | d7a2361877b9cd1f4b6ef56f59fb7adec72cc945 | SHA-1 del payload JavaScript iniziale |
| SHA-256 Payload | b11ef9f11c9bb6228582f38a61f4c04dc7160939d8c5b7ee4e467ffde6317f02 | SHA-256 del payload JavaScript iniziale |
| Nome File Dropped | client_124578.exe | Applicazione firmata usata per DLL side-loading |
| SHA-256 Dropped EXE | e77747f06d1d3ee5b8466340a10416874439dd69a7e9cd8653647be7782899b6 | SHA-256 del launcher di side-loading |
| Nome File Dropped DLL | d3d11.dll | DLL dannoso side-loaded |
| SHA-256 Dropped DLL | 94f333cba95e76e6b8c0f8831bffc446b5f3c90db2c598c6079a98f1a0ef9701 | SHA-256 del DLL dannoso |
| Nome Estensione | Cloud vn105rkj64 | Estensione Chrome malvagia |
| ID Estensione | gghagmhimhgfeajfdmjkgmmehbokmglg | ID estensione consentita |
| SHA-256 CRX | d05e03173d9c841a28af60f5dda8a7c7a39c0a0d7302ec412ac4638b8f9872a3 | Pacchetto estensione |
| Host Native Messaging | com.vn105rkj64.tr7qprrt7g | Bridge tra Chrome e Windows |
| Dominio C2 | ext2[.]info | Server di comando e controllo confermato |
| IP Osservato | 2.27.5.53 | IP osservato durante l’analisi |
| Richiesta C2 | POST https://ext2[.]info/time.php?q=ste_jstest2 | Canale di esfiltrazione e comando |
| Dominio Correlato | cd-nwlins[.]site | Dominio contattato durante l’esecuzione |
| Chiave Policy Chrome | HKCU\Software\Policies\Google\Chrome\ExtensionInstallAllowlist | Policy di installazione estensione modificata |
| Chiave Policy Chrome | HKCU\Software\Policies\Google\Chrome\ExtensionInstallSources | Valore osservato: http://localhost:8080/* |
| Chiave Host Native | HKCU\Software\Google\Chrome\NativeMessagingHosts\com.vn105rkj64.tr7qprrt7g | Posizione di registrazione prevista per l’host |
Strategie di Mitigazione e Rilevazione
- Monitoraggio delle Policy: Inspezionare le entità di policy aziendali di Chrome inaspettate e i valori di
ExtensionInstallSources. - Enumerazione Host: Enumerare gli host di Native Messaging sotto
HKCU\Software\Google\Chrome\NativeMessagingHosts. - Analisi dei Manifesti: I
allowed_originsnei manifesti rivelano quali estensioni possono avviare un host; ID di estensione sconosciuti combinati con eseguibili in posizioni scrivibili dall’utente sono ad alto rischio. - Monitoraggio Endpoint: Correlare eventi come la compilazione di
csc.exe, processi PowerShell nascosti, modifiche alle chiavi di policy di Chrome, indicatori di side-loading di DLL e POST outbound a domini insoliti. - Risposta agli Incidenti: Non fermarsi alla rimozione dell’estensione. Disregistrare ed eliminare l’Host Native Messaging, rimuovere eseguibili e DLL dannosi, esaminare i log di PowerShell, invalidare sessioni browser esposte e ruotare le credenziali.
Note sulla Sicurezza
Gli indirizzi IP e i domini sono defangati (ad esempio, [.]) per prevenire la risoluzione accidentale o l’hyperlinking. Ri-fangare solo entro piattaforme di intelligence sulle threat controllate come MISP, VirusTotal o il SIEM.
Fonte: https://gbhackers.com/chrome-extension-to-break-out-of-browser-sandbox/
