Recentemente, i ricercatori di ReasonLabs hanno scoperto un nuovo malware capace di installare pericolosi add-on su Google Chrome e Microsoft Edge. Questi add-on maligni, una volta installati, possono compromettere gravemente la sicurezza degli utenti, portandoli a siti di adware e rubando le loro credenziali di login. In questo articolo esploreremo come questo malware agisce, le sue implicazioni e le misure da prendere per proteggersi.
Come funziona il Malware
Il malware sfrutta la tecnica del malvertising per ingannare gli utenti. Attraverso annunci pubblicitari su Google, i cybercriminali promuovono siti fasulli dai quali è possibile scaricare installer di software apparentemente legittimi come Roblox FPS Unlocker, TikTok Video Downloader, YouTube, VLC, Dolphin Emulator e KeePass. Questi installer sono firmati con certificati legittimi che eludono le soluzioni di sicurezza.
Una volta eseguito, l’installer non installa il software atteso, ma uno script PowerShell che crea un’attività pianificata e scarica un payload da un server remoto. Lo script modifica quindi il registro di Windows per forzare l’installazione delle estensioni malevole.
Le estensioni maligne per Chrome e Edge
I ricercatori di ReasonLabs hanno identificato un totale di 15 estensioni malevole: 9 per Chrome e 6 per Edge. La tabella sottostante riassume le estensioni scoperte e il loro stato attuale:
| Browser | Numero di Estensioni | Stato |
|---|---|---|
| Chrome | 9 | 4 ancora attive |
| Edge | 6 | Tutte rimosse |
Le estensioni malevole permettono di:
- Dirottare le query di ricerca verso siti di adware.
- Rubare credenziali di login e cronologia di navigazione.
- Monitorare le attività online degli utenti.
- Eseguire comandi ricevuti dal server C2 (command and control).
Rimozione e prevenzione
Le estensioni infette non sono visibili nella pagina dedicata ai componenti aggiuntivi dei browser, il che rende la loro rimozione particolarmente complicata. È necessario eseguire una pulizia manuale del registro per eliminare i segni lasciati dal malware. Inoltre, è consigliato disinstallare e reinstallare Edge e Chrome per garantire una pulizia completa.
Lo script PowerShell associato al malware disattiva anche gli aggiornamenti automatici dei browser, impedendo così la rilevazione del malware con versioni future. Pertanto, è fondamentale ripristinare le impostazioni degli aggiornamenti automatici una volta completata la disinstallazione.
Implicazioni della sicurezza
Questa scoperta evidenzia la crescente sofisticazione dei cybercriminali che utilizzano tecniche di malvertising per compromettere la sicurezza degli utenti. Le estensioni malevole non solo alterano il comportamento dei browser, ma possono anche avere gravi conseguenze per la privacy e la sicurezza online degli utenti.
Misure di sicurezza raccomandate
Per proteggersi da tali minacce, è consigliato:
- Evitare di scaricare software da fonti non verificate.
- Utilizzare software antivirus aggiornati.
- Monitorare regolarmente le estensioni installate sui browser.
- Aggiornare i browser e le applicazioni regolarmente per patch di sicurezza.
- Eseguire scansioni periodiche del sistema alla ricerca di malware.
Il malware che installa pericolosi add-on su Edge e Chrome rappresenta una minaccia significativa per la sicurezza online degli utenti. Conoscere le modalità di attacco e adottare misure preventive è cruciale per mantenere la propria sicurezza informatica.
In sintesi, il malware che installa estensioni pericolose su Edge e Chrome è un problema serio che richiede attenzione e azioni correttive. Gli utenti devono essere proattivi nella protezione dei propri dati e nella gestione delle proprie applicazioni per mitigare i rischi associati a queste minacce.
