Ogni trimestre HP realizza il Threat Insights Report per evidenziare campagne di malware, tendenze e tecniche identificate da HP Wolf Security.
HP Wolf Security, il programma di HP per la sicurezza degli endpoint, fornisce infatti una visione costantemente aggiornata sulle tecniche utilizzate dai criminali informatici, in modo tale da dotare i team security delle conoscenze necessarie per combattere le minacce emergenti e migliorare la sicurezza aziendale.
In breve: cosa è emerso dal Threat Insights Report Q1 2023
Tra i primi dati emersi dal Threat Insights Report Q1 2023 ci sono i malware diffusi attraverso OneNote, la popolare applicazione gratuita per prendere appunti e collaborare, per aggirare le restrizioni sulle macro che riguardano alcuni formati di file di Microsoft Office: sostanzialmente, gli attacchi inducono le vittime a cliccare su elementi fittizi nell’interfaccia utente e a scaricare script dannosi che danneggiano i PC con backdoor e trojan di accesso remoto (RAT).
Ma non solo: a marzo, HP Wolf Security ha rilevato una nuova campagna di malware ChromeLoader che danneggia gli utenti con estensioni dannose di Google Chrome: in pratica la nuova variante, ChromeLoader Shampoo, viene distribuita tramite siti web che ospitano film e videogiochi pirata.
Le funzionalità del malware includono il reindirizzamento delle query di ricerca e l’introduzione di pubblicità nelle sessioni di navigazione, per cui è probabile che in questo caso gli hacker siano guidati da un ritorno economico.
Nel primo trimestre, inoltre, si è assistito a una diversificazione, con alcuni distributori di spam dannoso che hanno cambiato tipo di file ogni settimana: il volume di minacce gzip e HTML gzip e HTML rilevato da HP Wolf Security è aumentato significativamente, con una crescita del 53% e del 37% rispetto al quarto trimestre.
Infine, alcuni hacker hanno tentato di compromettere i PC degli utenti usando Microsoft 365 e inviando mail dannose: hanno infatti cercato di infettare i PC con Formbook, una famiglia di malware venduto sui forum di hackeraggio in grado di registrare i tasti premuti e rubare informazioni sensibili.
I malware diffusi tramite OneNote
Come anticipato nella sintesi qui sopra, molti attacchi informatici stanno abusando della capacità di OneNote di incorporare contenuti per diffondere malware.
Come è tipico dei malware che coinvolgono file Office, PDF e HTML, gli aggressori si affidano a immagini di social engineering che sembrano prompt di programmi ufficiali ed elementi dell’interfaccia utente per indurre le vittime a eseguire un codice dannoso sui loro PC.
In pratica gli utenti visualizzano un messaggio che chiede loro di fare doppio clic su un pulsante che presumibilmente caricherà tutti i file presenti nel notebook. Tuttavia, dietro al pulsante si nasconde uno script dannoso che scarica e infetta il PC con il malware.
Gli hacker hanno utilizzato diversi linguaggi di scripting e tecniche di offuscamento per eludere il rilevamento, tra cui PowerShell, batch e JScript in file di script di Windows (WSF) e applicazioni HTML (HTA).
Cosa possono fare le aziende per prevenire simili attacchi informatici? Ad esempio, se non si prevede di ricevere file OneNote via e-mail da persone esterne alla propria organizzazione, è possibile configurare HP Wolf Security per impedire agli utenti di affidarsi a file provenienti da fonti esterne.
Il malware ChromeLoader Shampoo
I criminali informatici per decenni hanno abusato dell’estensibilità dei browser web per ottenere guadagni finanziari e rubare informazioni personali, prima attraverso barre degli strumenti illegali e, più recentemente, tramite estensioni dubbie.
Nel mese di marzo, ad esempio, HP Wolf Security ha rilevato utenti che tentavano di scaricare un’estensione dannosa di Google Chrome chiamata Shampoo.
Shampoo è una variante di ChromeLoader, una famiglia di estensione del browser Google Chrome analizzata per la prima volta all’inizio del 2022, che in cambio di un guadagno economico reindirizza le query di ricerca introducendo pubblicità. ChromeLoader Shampoo ha una complessa catena di infezione, che inizia con la vittima che scarica script dannosi da siti web che ospitano contenuti illegali, come film e videogiochi piratati.
A differenza delle estensioni legittime, Shampoo non è non è stata revisionata e pubblicata sul Chrome Web Store, anzi, danneggia i PC di chi scarica film, serie tv o videogiochi illegalmente attivando una catena complessa di script che scaricano l’estensione, la caricano in una nuova sessione di navigazione e impostano meccanismi di persistenza rendendo più difficile la rimozione.
Molte vittime si accorgono dell’estensione dannosa quando Chrome inizia a reindirizzarli a pagine web diverse, quando iniziano a chiudersi e a riaprirsi inaspettatamente, oppure quando individuano l’icona dell’estensione nella barra degli strumenti.
Tuttavia, rimuovere ChromeLoader Shampoo non è semplice come disinstallare un’estensione legittima: il malware si basa su script in loop e su un’attività pianificata di Windows che reinstalla l’estensione ogni volta che la vittima la rimuove o riavvia il dispositivo.
Un modo semplice per rilevare se Shampoo, o un’altra variante di ChromeLoader, è presente su un computer è quello di verificare se Chrome è in esecuzione con l’argomento “–load extension“, in quanto ChromeLoader fa affidamento su questo argomento per caricare l’estensione in una normale sessione di Chrome.
Comments are closed.