Sono state identificate nuove campagne di advertising malevolo, in gergo malvertising, che stanno diffondendo fake installer di app e giochi molto popolari, come Viber, WeChat, NoxPlayer e Battlefield, per indurre utenti inconsapevoli ad effettuare il download di nuove backdoor ed estensioni del browser Google Chrome, finora sconosciute. La finalità dei cyber criminali è quella di rubare credenziali e dati archiviati nei sistemi compromessi e mantenere l’accesso da remoto.
“Ci troviamo dinanzi all’ennesima campagna di malvertising che tuttavia si distingue per alcuni aspetti, in primis per il fatto che il responsabile sia un attore malevolo non noto sino ad oggi, tracciato come “magnat“, che sta ponendo grande attenzione allo sviluppo dei codici malevoli in arsenale e li migliora di continuo”, sottolinea Pierluigi Paganini, analista di cyber security e CEO Cybhorus.
Indice degli argomenti
Il processo di infezione via malvertising
“Va detto, inoltre, che quest’attaccante è operativo dal 2018, circostanza che conferma le capacità e l’efficacia delle sue operazioni”, continua Paganini.
Infatti, si stima che gli attacchi siano iniziato a fine 2018, con attività intermittente fino a fine 2019 e inizio 2020, seguiti da un ritorno nell’aprile 2021. Le segnalazioni sono avvenute in Canada, poi Stati Uniti, Australia, Italia, Spagna e Norvegia.
“Il processo di infezione è semplice quanto efficace, le vittime alla ricerca di popolari software ricevono un link ad un installer che serve sul sistema delle vittime un password stealer, un’estensione Chrome ed una backdoor“, commenta Paganini.
Le intrusioni attraverso il malvertising portano, infatti, a scaricare un password stealer noto come RedLine Stealer, un’estensione di Chrome chiamata “MagnatExtension” che è programmata per registrare tutti i tasti premuti sulla tastiera di un computer, per trafugare password e informazioni riservate, e catturare screenshot e backdoor basate su AutoIt che stabiliscono accesso remoto verso una macchina.
Malware usati per il cyber spionaggio, una delle minacce rivolte alle aziende e al settore pubblico, con l’intento di sottrarre know-how tecnologico, oltre a informazioni sensibili.
Nel dettaglio, MagnatExtension maschera il Safe Browsing di Google, per rubare dati, raccogliere cookie ed eseguire codice JavaScript arbitrario.
Spiccano le comunicazioni command-and-control (C2) dell’estensione, mentre l’indirizzo C2 è hard-coded e può essere aggiornato con una lista di domini C2. In caso di fallimento dell’update, può usare metodi alternativi capaci di ottenere nuovi indirizzi C2 dalla ricerca di hashtag su Twitter come “#aquamamba2019” o “#ololo2019.”
Il modello Access-as-a-Service
La motivazione degli attaccanti è economica. Prosegue l’esperto di cyber security: “La natura e le funzionalità implementate in questi software suggeriscono che l’attore sia finanziariamente motivato, ovvero che rubi informazioni per utilizzarle in attacchi o per rivenderle a terze parti”.
“Proprio quest’ultima ipotesi è suffragata dall’installazione di una backdoor RDP, asservita alla necessita di poter rivendere accessi RDP nell’ecosistema criminale secondo un modello consolidato di Access-as-a-Service“, conclude Paganini.
Come proteggersi dal malvertising
In azienda, la priorità è la security awareness: bisogna puntare sulla consapevolezza, addestrando ed educando i dipendenti ad essere coscienti dei possibili rischi e partecipi, come tasselli di un mosaico, della sicurezza di tutta l’organizzazione nel suo complesso.
Poiché il malvertising rappresenta un attacco subdolo, in grado di sfruttare il fattore umano e tutte le vulnerabilità legate a esso, conviene mantenere sempre aggiornato sul computer un buon antimalware dotato di opzioni di analisi comportamentale, sistema di prevenzione e rilevamento in real time, basato su algoritmi di intelligenza artificiale e isolamento in sandbox.
Inoltre, bisogna scaricare le app dagli store ufficiali, anche se il marketplace non è sempre garanzia di sicurezza: per questo motivo, altro importante suggerimento consiste nell’installare solo applicazioni ed estensioni di cui realmente abbiamo necessità e i cui autori siano brand noti e affidabili.
