Attenti a DeerStealer, il malware nascosto in falsi siti di Google Authenticator

Recentemente, è emerso un nuovo tipo di attacco informatico in cui attori malintenzionati utilizzano falsi annunci di Google Authenticator per diffondere il malware ribattezzato DeerStealer, un tipo di infostealer progettato per rubare dati sensibili dall’utente, come credenziali, cookie e altre informazioni archiviate nel browser web.

Questo attacco sfrutta il sistema di pubblicità di Google, inducendo gli utenti a scaricare software malevolo sotto le mentite spoglie di un’applicazione legittima e ben nota per l’autenticazione a due fattori (2FA).

DeerStealer: descrizione del malware

I ricercatori di sicurezza hanno identificato un sito fraudolento, “authentificcatorgoolglte[.]com”, che si presenta come un sito ufficiale di Google Authenticator.

Il sito mira a ingannare gli utenti convincendoli a scaricare un’applicazione fasulla. Gli attaccanti creano annunci pubblicitari che appaiono in cima ai risultati di ricerca di Google quando gli utenti cercano Google Authenticator.

Questi annunci, apparentemente legittimi, reindirizzano gli utenti a siti web fraudolenti che imitano la pagina ufficiale di download di Google Authenticator. Uno di questi siti è stato identificato come “chromeweb-authenticators[.]com”.

Una volta che l’utente clicca sul link nell’annuncio, viene indirizzato attraverso una serie di reindirizzamenti a un sito web fraudolento. Qui, viene indotto a scaricare un file eseguibile chiamato “Authenticator.exe”, ospitato su GitHub.

Utilizzare GitHub consente agli attaccanti di sfruttare una piattaforma considerata affidabile, aumentando la probabilità che il file malevolo non venga bloccato dai sistemi di sicurezza tradizionali.

Processo di infezione del malware DeerStealer

Ecco i vari passaggi che consentono al malware DeerStealer di infettare le sue vittime:

1. Visita al sito fraudolento: quando un utente visita il sito, viene presentata una pagina di download apparentemente legittima.
2. Download del malware: cliccando sul pulsante di download, il sito reindirizza l’utente a un repository su GitHub contenente il malware.
3. Esecuzione del malware: una volta scaricato e installato, il malware viene eseguito sul dispositivo dell’utente.

Comportamento del malware

Il file eseguibile distribuisce, ovviamente, il malware DeerStealer che, successivamente, invia i dati rubati a un server controllato dagli attaccanti, noto come “vaniloin[.]fun”:

1. Trasmissione di dati: l’indirizzo IP e altre informazioni sull’utente vengono immediatamente trasmesse a un bot Telegram controllato dagli attaccanti.
2. Firme digitali e offuscamento: il file malevolo è firmato digitalmente per sembrare legittimo e utilizza tecniche di offuscamento per nascondere le sue operazioni.

Capacità del malware DeerStealer

DeerStealer è una variante di malware classificata come infostealer, un tipo di software malevolo specializzato nel raccogliere e inviare dati sensibili dall’utente a un server remoto controllato dagli attaccanti.

Gli infostealer come DeerStealer sono particolarmente pericolosi perché mirano a raccogliere informazioni che possono essere utilizzate per ulteriori attacchi, furti d’identità e frodi finanziarie.

Gli sviluppatori di DeerStealer vendono il malware come “malware-as-a-service” (MaaS) nel dark web.

Questi gruppi sviluppano e aggiornano costantemente il malware per evitare il rilevamento da parte dei software antivirus e delle altre misure di sicurezza informatica.

Gli utilizzatori di DeerStealer possono variare dai criminali informatici meno esperti che acquistano il malware nei forum del dark web, fino agli attori statali che lo utilizzano per operazioni di spionaggio.

DeerStealer si distingue per la sua capacità di:

1. Raccogliere credenziali: password, nomi utente, e altre informazioni di login memorizzate nei browser.
2. Rubare cookie di sessione: permettendo agli attaccanti di dirottare sessioni web attive.
3. Esfiltrare dati: inviare le informazioni raccolte a server remoti controllati dagli attaccanti, spesso utilizzando tecniche di crittografia per evitare il rilevamento.
4. Evasione dei sistemi di sicurezza: utilizzare certificati digitali legittimi per firmare il malware, aumentando la sua credibilità e riducendo la probabilità di essere bloccato dai software di sicurezza.

Un aspetto critico di questo attacco è la capacità degli attaccanti di superare il processo di verifica degli annunci di Google. Utilizzando tecniche di “cloaking” degli URL, gli attaccanti fanno apparire il dominio dell’annuncio come “google.com”, ingannando così gli utenti e aumentando la credibilità dell’annuncio stesso.

Nonostante gli sforzi di Google per migliorare i sistemi di rilevamento, questi attacchi continuano a eludere la sicurezza creando migliaia di account pubblicitari simultaneamente.

Secondo un’analisi dettagliata della campagna DeerStealer condotta da ANY.RUN, il malware è distribuito attraverso siti web che imitano quelli legittimi di Google Authenticator.

Un esempio di dominio utilizzato è “authentificcatorgoolglte[.]com”. Gli utenti che visitano questi siti falsi sono indotti a scaricare un file eseguibile malevolo.

La comunicazione con il server di comando e controllo (C2) avviene tramite un bot Telegram chiamato “Tuc-tuc”, che riceve informazioni sui visitatori del sito, compresi gli indirizzi IP e i dati geografici.

Indicatori di compromissione (IOC) di DeerStealer

I seguenti hash di file sono associati al malware DeerStealer e possono essere utilizzati per identificarne la presenza nei sistemi:

• 4640d425d8d43a95e903d759183993a87bafcb9816850efe57ccfca4ace889ec
• 569ac32f692253b8ab7f411fec83f31ed1f7be40ac5c4027f41a58073fef8d7d
• 5e2839553458547a92fff7348862063b30510e805a550e02d94a89bd8fd0768d
• 66282239297c60bad7eeae274e8a2916ce95afeb932d3be64bb615ea2be1e07a
• a6f6175998e96fcecad5f9b3746db5ced144ae97c017ad98b2caa9d0be8a3cb5
• b116c1e0f92dca485565d5f7f3b572d7f01724062320597733b9dbf6dd84dee1
• b5ab21ddb7cb5bfbedee68296a3d98f687e9acd8ebcc4539f7fd234197de2227
• cb08d8a7bca589704d20b421768ad01f7c38be0c3ea11b4b77777e6d0b5e5956
• d9db8cdef549e4ad0e33754d589a4c299e7082c3a0b5efdee1a0218a0a1bf1ee
• E24c311a64f57fd16ffc98f339d5d537c16851dc54d7bb3db8778c26ccb5f2d1

Fake Domains:

• gg2024[.]info
• authenticcator-descktop[.]com
• authentificatorgogle[.]com
• authentificator-gogle[.]com
• updater-pro[.]com
• authentificatorgoogle[.]com
• authetificator-gogle[.]com
• gg2024[.]com
• chromstore-authentificator[.]com
• authentificcatorgoolgle[.]com
• authentificator-googl[.]com
• authentifficatorgogle[.]com
• authenticattor-googl[.]com
• authenficatorgoogle[.]com
• authenticator-googl[.]com
• paradiso4[.]fun
• bflow-musico[.]fun

Raccomandazioni di sicurezza

Per mitigare il rischio di infezione da DeerStealer, si consiglia di:

1. Scaricare software solo da fonti ufficiali: evitare di scaricare applicazioni da siti non verificati.
2. Verificare la legittimità del sito: controllare attentamente l’URL e cercare segni di falsificazione.
3. Utilizzare software di sicurezza: Implementare soluzioni antivirus e anti-malware aggiornate.
4. Educazione degli utenti: Informare gli utenti sui rischi associati al download di software da fonti non sicure.

Conclusioni

La campagna di distribuzione del malware DeerStealer tramite siti falsi di Google Authenticator rappresenta una minaccia significativa per la sicurezza degli utenti.

È essenziale che gli utenti siano consapevoli dei rischi e adottino misure preventive adeguate.