di Pierguido Iezzi

30 Marzo 2020

Il cybercrime usa falsi aggiornamenti di Google Chrome per distribuire malware: una backdoor

Un gruppo di ricercatori di cyber security di un laboratorio in Russia ha scoperto che migliaia di utenti sono stati ingannati e hanno scaricato una pericolosa backdoor, camuffata da aggiornamento di Google Chrome. Gli update e le patch sono stati oggetto di molte notizie la scorsa settimana, con Microsoft che ha confermato modifiche senza precedenti agli aggiornamenti di Windows 10, i quali hanno coinvolto quasi 1 miliardo di utenti. Lo scorso 19 marzo, di contro, Google aveva annunciato la sospensione di tutte le prossime uscite di Chrome, poiché l’impatto della pandemia del coronavirus aveva causato troppi ritardi nella delivery da parte dei suoi sviluppatori. Google ha anche deciso di “saltare” la prossima release, che doveva essere Chrome 82. Tuttavia, l’azienda ha confermato che “continuerà a dare priorità a tutti gli aggiornamenti relativi alla sicurezza”. Evidentemente, il cybercrime ha sfruttato l’occasione per diffondere malware.

Gli autori dell’operazione sono coinvolti anche nella diffusione di un falso installer dell’editor video VSDC

Il download stesso del falso aggiornamento di Google Chrome è stato collegato a più siti WordPress, compromessi dai Criminal Hacker. Quelle pagine, che includono tutto dai blog di notizie ai siti ufficiali delle aziende, sono state colpite con una storia di campagne di hacking di successo. Il gruppo del cybercrime dietro all’attacco, infatti, è stato precedentemente coinvolto nella diffusione di un falso installer del popolare editor video VSDC attraverso il suo sito ufficiale e la piattaforma software CNET. In questa occasione, ha ottenuto il controllo degli account amministratore di più siti per creare una catena di infezione. Una volta dentro, gli hacker malevoli hanno incorporato uno script di reindirizzamento JavaScript, che invia i visitatori direttamente a quella che sembra essere una legittima pagina di aggiornamento di Google Chrome. Questa, ovviamente, è tutt’altro che legittima e in realtà fa partire l’installazione del malware.

Gli esperti di cyber security: La backdoor è stata scaricata più di 2.000 volte. Attenzione, permette a chi la controlla di installare altri payload e il data-stealer Predator the Thief

La backdoor di Chrome, peraltro, secondo gli esperti di cyber security, è stata scaricata più di 2.000 volte. Una volta eseguito il file, viene installata un’applicazione di controllo remoto di TeamViewer insieme ad archivi protetti da password. Questi contengono file che il cybercrime utilizza per offuscare il malware dalla protezione antivirus di Windows. A questo punto possono essere installati anche altri payload malevoli, tra cui un keylogger e un sofisticato data-stealer. Chiamato Predator the Thief, è attivo da 18 mesi ed è noto per utilizzare tecniche anti-debugging e anti-analisi per sviare il rilevamento e l’analisi da parte dell’utente target. Finora le vittime sono state presi di mira sulla base di una combinazione di geolocalizzazione e rilevamento del browser. Includono persone negli USA, Canada, Israele, Australia, Turchia e UK.

Fonte: Difesa & Sicurezza