Cresce la diffusione dei Fake Updates, tanto che Google Chrome mette in guardia i suoi utenti

In tempi recenti Google Chrome ha iniziato a mettere in guardia i suoi utenti dal pericolo per la sicurezza rappresentato dai Fake Updates, dei nuovi malware che, una volta attivati, riempiono il PC di file infetti. Questa relativamente nuova tipologia, che ha iniziato ad essere distribuita a dicembre 2017, viene diffusa tramite falsi aggiornamenti per il browser Internet e sfruttano siti web compromessi per reindirizzare gli utenti a pagine che promuovono aggiornamenti software fake. Sono stati scoperti per la prima volta dagli esperti di sicurezza da una agenzia di Cyber Security statunitense che, proprio per intercettare sin dall’inizio questo fenomeno ha instituito una task force apposita chiamata “Fake Updates”.

Cosa sono i Fake Updates e perché rappresentano un pericolo per la cyber security

Il ricercatore di cyber security che per primo ha portato alla luce la problematica si chiama Jerome Segura. Sul suo blog ha spiegato come i sistemi CMS di siti web ritenuti legittimi – come Adobe Flash Player – siano stati hackerati per diffondere i file dannosi. L’hacking CMS ha interessato migliaia di siti che utilizzavano piattaforme come WordPress, Squarespace e Joomla: “I visitatori dei siti sono stati dapprima reindirizzati a una pagina di aggiornamento falsa per il browser pertinente, la quale affermava che il file era obsoleto e che si doveva effettuare l’aggiornamento all’ultima versione. Dopo che le vittime avevano cliccato sul pulsante per l’update, veniva loro chiesto di scaricare un file JavaScript presente su Dropbox, che quindi infettava i loro PC con il malware.”

Il cybercrime vuole indurre gli utenti a scaricareChtonic: un malware bancario che colpisce i dispositivi Windows (variante Trojan ZeusVM) e che consente di rubare i dettagli dei conti bancari e delle carte di credito

Il cybercrime vuole indurre gli utenti a scaricare Chtonic: un malware bancario che colpisce i dispositivi Windows (variante Trojan ZeusVM). Questo consente di rubare i dettagli dei conti bancari e delle carte di credito. La malware campaign, come aggiunto da Segura, si basa su un meccanismo di erogazione che sfrutta il social engineering e abusa di un legittimo servizio di file hosting: “Il file esca è costituito da uno script anziché da un eseguibile dannoso e ciò offre agli aggressori la possibilitàdi sviluppare tecniche interessanti di offuscamento e di impronte digitali. Per quanto riguarda i siti web compromessi, sono stati abusati non solo per reindirizzare gli utenti, ma anche per ospitare il programma dei Fake Updates, rendendo i loro proprietari inconsapevoli partecipanti di una malware campaign. Perciò è importante mantenere aggiornati i sistemi di gestione dei contenuti, nonché utilizzare una buona igiene di sicurezza quando si tratta di autenticazione.”

DOmen, il nuovo toolkit che si cela dietro i falsi aggiornamenti

Dietro il fenomeno dei Fake Updates si nasconde un toolkit del cybercrime di nuova generazione, Domen. Questo, una volta caricato su un sito compromesso, inizia a visualizzare una varietà di avvisi che si sovrappongono al contenuto legittimo del sito. Questi falsi avvisi sono progettati in modo tale da indurre gli utenti a credere che siano reali e, successivamente, a scaricarli. Tuttavia, non appena vengono eseguiti, infettano i sistemi di destinazione con payload a scelta degli aggressori. Uno dei casi più famosi, avvenuto negli ultimi anni, è stato il fake update di Flash Player. Per metterlo in atto, i criminali informatici avevano compromesso il sito legittimo Wheellist.net e posizionato un iframe da chrom-update.online appena un livello sopra la pagina normale. CLiccando sul pulsante UPDATE o LATER, nella pagina si verificava il download di un file chiamato “download.hta” indicizzato sulla piattaforma Bitbucket di Atlassian e ospitato su un server Amazon. Al momento dell’esecuzione, il file “download.hta” eseguiva Powershell e si connetteva ad un dominio. xyz al fine di recuperare un malware denominato NetSupport RAT (strumento per l’amministrazione da remoto).

DOmen è unico nel suo genere: supporta 30 lingue diverse e colpisce gli utenti che visitano i siti sia da PC sia da dispositivi mobile

Quando un PC è infettato da un RAT (Remote Access Trojan), gli aggressori possono assumernene il controllo, anche se si trovano in un punto molto distante dall’utente. Uno degli aspetti interessanti di DOmen è che, oltre a supportare 30 lingue diverse, è stato progettato sia per gli utenti che visitano i siti internet dal PC sia per quelli che preferiscono navigare su Internet usando lo smartphone. Ciò consente allo script di indirizzare una vasta gamma di visitatori diversi su un unico, o anche su più siti, sito compromesso al fine di infettare i loro dispositivi con il malware. A rendere però DOmen unico nel suo genere, come riportato dai ricercatori di Malwarebytes, è che lo script client-side (template.js) può essere facilmente modificato dai cyber criminali, permettendo loro non solo di scegliere il browser dell’attacco, ma anche la lingua parlata dagli utenti a cui rivolgerlo.

I suggerimenti di Pierguido Iezzi e di Swascan su come proteggersi dai Fake Updates

Se un utente, durante la sua navigazione abituale, incontra un “fake update”, può mettere in atto una serie di accorgimenti per proteggersi e per impedire che il malware infetti il suo dispositivo. Ecco i principali:

• Non fare click sulla pagina, per nessun motivo, e chiudere immediatamente il browser.
• Prestare attenzione agli avvisi del programma antivirus: se ne ha installato uno performante, è probabile che quest’ultimo non solo lo avverta, ma impedisca anche alla pagina infetta di scaricare automaticamente il malware. Anche in questo caso dovrà chiudere subito il browser.
• Se ha già cliccato su una qualsiasi parte della pagina, dovrà interrompere il download in atto e tornare all’ultima versione del backup del PC che era presente prima dell’installazione del malware dal sito infetto.
• Se nonostante questi accorgimenti, il malware è già stato installato, potrebbe essere necessario rivolgersi ad un professionista per rimuoverlo. Se il PC sembra lento o visualizza annunci pop-up o componenti aggiuntivi che l’utente non ha mai installato, il malware potrebbe trovarsi ancora all’interno del sistema.
• Installare o aggiornare i programmi antivirus e spyware e scoprire se, su un provider di un browser web attendibile, siano disponibili aggiornamenti validi.
• Se l’utente è il gestore di un sito web, oppure un’azienda che lo utilizza per promuovere la sua attività e i suoi prodotti, come prima cosa dovrà ottenere gli ultimi aggiornamenti in merito alla sicurezza informatica e assicurarsi che la sicurezza stessa della sua rete sia il più aggiornata possibile. Molte di queste minacce malware provengono da siti web che sono stati danneggiati dai malintenzionati per fare il loro “sporco lavoro” e di sicuro non desidera che il suo sito sia uno degli host corrotti.