La società di sicurezza Trellix ha osservato attori delle minacce intenti a sfruttare falsi siti web, mascherati da soluzioni antivirus legittime di Avast, Bitdefender e Malwarebytes, per diffondere malware in grado di rubare informazioni sensibili dai dispositivi Android e Windows.
“La campagna non appare particolarmente complessa”, commenta Pierluigi Paganini, analista di cyber security e CEO Cybhorus, “e prende di mira proprio quegli utenti che, in cerca di software antivirus, si mettono alla ricerca di siti dove reperirli senza essere in grado di verificare la legittimità“.
“La campagna in oggetto sfrutta una tecnica piuttosto comune negli ultimi tempi, la distribuzione di siti malevoli tramite malvertising (gli attaccanti usano spazi pubblicitari legittimi per promuovere software di uso comune, ma dirigendo in realtà l’utente verso siti malevoli) o SEO Poisoning (manipolazione degli algoritmi di Search Engine Optimization per posizionare i siti malevoli in cima ai risultati delle ricerche per uno specifico argomento da parte della potenziale vittima)”, aggiunge Paolo Passeri, Cyber Intelligence Principal di Netskope.
Ecco come mitigare il rischio degli info-stealer distribuiti via fake antrivirus.
Indice degli argomenti
Falsi antivirus si mascherano da siti legittimi: la crescente minaccia degli info-stealer
L’elenco dei siti di fake antivirus comprende i seguenti siti trappola:
- avast-securedownload[.]com, che attori malevoli utilizzano per distribuire il trojan SpyNote sotto forma di un file di pacchetto Android (“Avast.apk”) che, una volta installato, richiede permessi intrusivi per leggere i messaggi SMS e i registri delle chiamate, installare ed eliminare applicazioni, fare screenshot, tracciare la posizione e persino estrarre criptovalute;
- bitdefender-app[.]com che consegna un file di archivio ZIP (“setup-win-x86-x64.exe.zip”) per fornire l’info-stealer Lumma;
- malwarebytes[.]pro, utilizzato per distribuire un file di archivio RAR (“MBSetup.rar”) che fornisce il malware information stealer StealC.
“Ospitare software malevolo su siti che sembrano legittimi è un’azione predatoria nei confronti dei consumatori, in particolare di coloro che cercano di proteggere i propri dispositivi dagli attacchi informatici”, ha dichiarato Gurumoorthi Ramanathan, ricercatore di sicurezza di Trellix.
L’azienda di cyber sicurezza ha dichiarato di aver scoperto anche un binario-canaglia di Trellix, denominato “AMCoreDat.exe”, che funge da ponte per il rilascio di un info-stealer in grado di raccogliere le informazioni delle vittime, compresi i dati del browser, e di esfiltrare tali informazioni su un server remoto.
Al momento non è chiaro come avvenga la distribuzione di questi siti web fasulli, ma in passato campagne simili hanno sfruttato tecniche come il malvertising e l’avvelenamento dell’ottimizzazione dei motori di ricerca (SEO).
“La tecnica usata per distribuire questi malware ospitandoli su siti web che sembrano affidabili e legittimi è tutt’altro che nuova”, conferma Pierluigi Paganini, “e fa leva sulla fiducia dei consumatori, soprattutto di quelli che cercano attivamente di proteggersi dagli attacchi informatici. Questo schema di attacco rende difficile per gli utenti distinguere tra risorse sicure e malevoli, aumentando il rischio di infezioni malware e di frodi”.
Infatti “gli attaccanti sfruttano la fiducia digitale (digital trust) degli utenti, ovvero, nel caso specifico, il fatto di ritenere valido e legittimo qualsiasi contenuto disponibile da internet o cliccare immediatamente sul link che appare per primo nel risultato di un motore di ricerca”, conferma Paolo Passeri.
Le dinamiche dei nuovi info-stealer
Gli info-stealer si sono sempre più trasformati in una minaccia comune, con i criminali informatici che pubblicizzano numerose varianti personalizzate con diversi gradi di complessità. Tra queste spiccano nuovi stealer come Acrid, SamsStealer, ScarletStealer e Waltuhium Grabber, oltre ad aggiornamenti di quelli esistenti come SYS01stealer (alias Album Stealer o S1deload Stealer).
“Quello che deve preoccupare è la crescente diffusione di malware info-stealer”, mette in guardia Paganini, “continuiamo ad osservare un’intensa attività dietro questa minaccia. Di recente sono state individuate varianti dei principali info-stealer sensibilmente migliorate per evadere la detection di software di sicurezza e per consentire l’esfiltrazione dei dati attraverso molteplici canali“.
La comparsa di nuovi stealer, con nuove funzionalità e sempre più sofisticati, indica che “esiste una domanda di info-stealer da parte del mercato criminale”, secondo un recente rapporto di Kaspersky.
“Il modello di malware-as-a-service (MaaS) ha reso accessibili questi codici malevoli a diverse tipologie di attaccanti con capacità differenti, aumentando di fatto il pericolo per gli utenti in rete”, evidenzia Paganini.
All’inizio di questa settimana, l’azienda russa di cyber sicurezza ha anche descritto una campagna di malware Gipy che sfrutta la popolarità degli strumenti di intelligenza artificiale (AI) pubblicizzando un falso generatore di voce AI tramite siti web di phishing.
Una volta installato, Gipy carica malware di terze parti ospitati su GitHub, che spaziano dagli info-stealer (Lumma, RedLine, RisePro e LOLI Stealer) e dai cypto-mining (Apocalypse ClipBanker) ai trojan di accesso remoto (DCRat e RADXRat) e alle backdoor (TrueClient).
“La popolarità degli schemi di frode che coinvolgono gli stealer può essere spiegata con il basso livello tecnico necessario per avvalersene”, spiega Giulio Vada, Regional Sales Director Italy & Hyberia presso Group-IB: “Il processo è completamente automatizzato e il malintenzionato, anche principiante, deve solo creare un file contenente lo stealer e indirizzare il traffico verso di esso. Anche la prevalenza di siti di phishing per la distribuzione di tali malware può essere attribuita alla loro accessibilità, le competenze tecniche necessarie per l’implementazione sono minime. Gli attori della minaccia automatizzano gran parte del processo e il loro compito principale è essenzialmente quello di creare e promuovere contenuti ingannevoli. Tuttavia, per chi cade vittima di questi schemi, le ripercussioni possono essere gravi e foriere di un importante impatto finanziario e reputazionale”.
Antidot, il nuovo trojan bancario
Intanto i ricercatori hanno scoperto un nuovo trojan bancario Android chiamato Antidot, che si camuffa da aggiornamento di Google Play per facilitare il furto di informazioni abusando delle API di accessibilità e MediaProjection di Android.
“Dal punto di vista funzionale, Antidot è in grado di eseguire keylogging, attacchi in overlay, esfiltrazione di SMS, cattura di schermate, furto di credenziali, controllo del dispositivo ed esecuzione di comandi ricevuti dagli attaccanti”, ha spiegato Symantec, società di proprietà di Broadcom, in un bollettino.
Come proteggersi dai falsi siti antivirus
In questi casi il principio zero di difesa consiste nella consapevolezza re dunque nel rispetto delle corrette posture di sicurezza.
Non bisogna mai effettuare il download di software crackato, ma occorre scaricare solo programmi originali dai marketplace e siti ufficiale. Non solo per non effettuare violazioni del copyright, ma anche per evitare che il social engineering, sempre in agguato, induca le vittime ad atterrare su siti trappola. Inoltre, è necessario verificare gli URL accorciati perché non permettono di osservare la legittimità del dominio.
“La misura più efficace di protezione consiste nel non accettare pedissequamente qualsiasi contenuto proveniente da Internet, evitando di scaricare software da siti non affidabili, o diversi dai canali ufficiali di distribuzione”, consiglia Paolo Passeri, “e in generale di verificare sempre il risultato di una ricerca, indipendentemente dal fatto che la ricerca sia effettuata da una postazione personale o aziendale. Gli utenti tuttavia, dovrebbero porre particolare attenzione quando queste operazioni sono effettuate da postazioni aziendali, evitando a priori di installare, e quindi effettuare ricerche per software non consentito dalla propria organizzazione”.
L’ecosistema degli infostealer è anche composto di threat actor noti come traffer che vengono assunti per diffondere malware attraverso molteplici metodi.
“La crescente professionalizzazione e specializzazione nel campo del crimine informatico deve allertare chi come noi si occupa di difendere aziende ed organizzazioni governative”, conclude Paganini.
“Da parte delle organizzazioni”, suggerisce Paolo Passeri, “è necessario educare gli utenti ai rischi derivanti dall’abuso del digital trust da parte degli attaccanti, applicando nel contempo misure atte a ispezionare tutto il traffico HTTP e HTTPS per prevenire il download di malware, e misure atte a prevenire o limitare l’installazione di software non approvato dal dipartimento IT nelle postazioni aziendali”.
“Per ridurre i rischi, gli esperti di tutela contro i rischi digitali di Group-IB consigliano agli utenti di evitare di scaricare software da fonti dubbie, di considerare l’utilizzo di macchine virtuali o di sistemi operativi alternativi per le installazioni, di cancellare regolarmente i cookie del browser, di astenersi dal memorizzare le password nei browser, di aggiornare frequentemente le password e, idealmente, di implementare l’autenticazione a due fattori. A fronte delle conseguenze del furto di dati e credenziali ad opera degli infostealer è fondamentale individuare e smantellare le infrastrutture dietro a queste operazioni. Il team High-Tech Crime Investigations di Group-IB è pronto ad aiutare le forze dell’ordine e le organizzazioni interessate a identificare gli attori delle minacce, anche all’interno degli schemi più sofisticati”, conclude Giulio Vada.
