Nuova campagna malware ai danni di Chrome ed Edge, e soprattutto degli utenti. Al momento oltre 300mila sono stati coinvolti in questo attacco, che avviene scaricando estensioni e installatori software da siti falsi, tutti promossi tramite malvertising.
La nuova campagna malware contro Chrome ed Edge
Riferisce Bleeping Computer, la campagna è stata scoperta dai ricercatori di ReasonLabs, che avvertono come i responsabili dietro l’attacco utilizzino varie strategie di malvertising per avviare l’infezione.
Per chi non lo sapesse, il malvertising è una pratica che consiste nel pubblicizzare dei prodotti fake su Internet: invece di contenere quanto promesso, il prodotto provvede a installare malware di ogni tipo, dagli spyware ai ransomware.
Tra i software usati come esca ci sono:
- un Roblox FPS Unlocker,
- un TikTok Video Downloader,
- un YouTube downloader,
- il VLC video player,
- l’emulatore Dolphin,
- il gestore di password KeePass.
Gli installatori scaricati sono firmati digitalmente da “Tommy Tech LTD” e, al momento dell’analisi da parte di ReasonLabs, riuscivano a eludere tutti i motori antivirus su VirusTotal.
Il funzionamento di questo malware
Invece di contenere il software promesso, gli installatori eseguono uno script PowerShell, che a sua volta scarica e avvia un payload da un server remoto, che permette il download del malware.
Subito dopo il malware scaricato crea una “Scheduled Task” che permette agli hacker, tramite lo script sopramenzionato, di installare ulteriori malware o altri payload. Tra le estensioni installate, molte di queste dirottano le query di ricerca e cambiano la homepage, reindirizzando le ricerche attraverso i server degli hacker, che possono così rubare la cronologia di navigazione.
Ma non solo. Queste estensioni possono anche catturare credenziali di accesso, cronologia di navigazione e altre informazioni sensibili, anche perché questo trojan consente agli hacker di monitorare la nostra attività online ed eseguire comandi direttamente sul computer.
Come proteggersi da questa campagna
ReasonLabs ha identificato diverse estensioni per Google Chrome e Microsoft Edge coinvolte nella campagna malware:
- nel caso di Google Chrome: Custom Search Bar, yglSearch, Qcom search bar, Micro Search Chrome Extension e Active Search Bar;
- nel caso di Microsoft Edge: Simple New Tab, Cleaner New Tab, NewTab Wonders, SearchNukes, EXYZ Search e Wonders Tab.
A causa dei meccanismi di persistenza sopraccitati, chi è rimasto vittima di questo attacco avrà molta difficoltà a estirpare queste estensioni e trojan.
Riferisce sempre Bleeping Computer, Reason Labs offre delle istruzioni sul proprio sito che riguardano eventuali interventi sui registri di sistema. Ad esempio, nel caso in cui il malware dovesse dirottare la homepage del browser (Chrome o Edge che sia) verso siti controllati dagli hacker, l’unico modo per risolvere il problema è aggiornare il browser a una nuova versione o reinstallarlo completamente.
In ogni caso, chi utilizza un antivirus di alto livello, dovrebbe essere già adeguatamente protetto da minacce di questo tipo.
