Gli specialisti di ReasonLabs hanno scoperto tre estensioni dannose per il browser Chrome che si mascheravano da VPN. Sono stati scaricati 1,5 milioni di volte e in realtà celavano all’interno l’infostealer cashback.
Queste estensioni pericolose venivano installate nei browser delle vittime e distribuite tramite programmi di installazione. Ad esempio all’interno di copie pirata di giochi popolari (Grand Theft Auto, Assassins Creed e The Sims 4) scaricate da tracker torrent.
Secondo gli esperti, la maggior parte dei contagi si è verificata in Russia, Ucraina, Kazakistan e Bielorussia. Questo accade poiché la campagna sembra mirata esclusivamente agli utenti di lingua russa.
 Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected].
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Le estensioni dannose si chiamavano
Poiché ReasonLabs aveva già segnalato questo problema a Google, l’azienda ha rimosso le estensioni dannose dal Chrome Web Store. A questo punto il numero totale di installazioni aveva già superato 1,5 milioni.
I ricercatori sono stati in grado di rilevare più di mille diversi file torrent contenenti un programma di installazione dannoso. Ovvero un’applicazione Electron di dimensioni comprese tra 60 e 100 MB. Il programma di installazione ha verificato la presenza di prodotti antivirus sul computer infetto. Successivamente ha installato netSave in Google Chrome e netPlus in Microsoft Edge.
Il rapporto sottolinea che l’installazione di estensioni VPN false è avvenuta automaticamente, a livello di registro, e non ha richiesto la partecipazione dell’utente o alcuna azione da parte sua. Per dare alla vittima un senso di legittimità, le estensioni false includevano persino un’interfaccia utente realistica e offrivano abbonamenti a pagamento.
L’analisi del codice del malware ha mostrato che le estensioni avevano accesso a schede, archiviazione, proxy, webRequest, webRequestBlocking, dichiarativeNetRequest, scripting, allarmi, cookie, activeTab, gestione e offscreen. L’abuso dell’autorizzazione offscreen ha consentito al malware di eseguire script e di interagire segretamente con il DOM (Document Object Model) di una pagina web. Cioè, l’accesso al DOM ha permesso di rubare dati utente riservati, manipolare le richieste web e persino disabilitare altre estensioni installate.
Un’altra caratteristica degna di nota del malware, è la disattivazione di altre estensioni relative a cashback e coupon al fine di eliminare i concorrenti sul dispositivo infetto. Secondo ReasonLabs, il malware ha attaccato più di 100 estensioni simili, tra cui Avast SafePrice, AVG SafePrice, Honey: Automatic Coupons & Rewards, LetyShops, Megabonus, AliRadar Shopping Assistant, Yandex.Market Adviser, ChinaHelper e Backlit.
Alla fine del rapporto, i ricercatori raccomandano agli utenti di controllare regolarmente quali estensioni sono installate nel proprio browser. Inoltre controllare le nuove recensioni sul Chrome Web Store per assicurarsi che altre persone non segnalino comportamenti dannosi.
Di seguito gli indicatori di compromissione pubblicati sul sito reasonlabs.com.
Extension IDs:
Hjfhbdephncmhdmomijibpmfiodgjkmm (netPlus)
Ipjbhjmcbgmdjfiichbgbmpmgonokpkb (netSave)
Gandigjpilmchbomlpmfogigbjapofnc (netWin)
Fdfgdppinimkcndhhmacdldlmcmbkcmf (saveVPN)
Anacglcdpkfbbimecdffhhglnonejpec (Savemaktic)
Fajafkhgbcekjfffgnpbbjhdhimgffec (Previous version of Mallberry)
SHA-1s (Setup.exe):
32d3e031ca2d98f7719f1a4cee95b2d0fc846b8b
87d4f3c815154b963bf84395e543ba57ee1b99d9
5cf0bfd320bb3c5780a8aecc8463702858613e70
9f8d9bd326f8f93c3fda8aef7942d2bae9ef0fc3
B0cd0092a504e281ed1591ea8554ede3829a9470
b260c92a915abe887a8d37ff1528ca3dcacd78c9
b0cd0092a504e281ed1591ea8554ede3829a9470
9a893571b726f3305d5b7207317169e1976d11a2
ca379bc09fccc5abd0c3794f8e32b51712e75093
bfaeab7f0303501c5e40d9d8fa3c8700e8d94638
9f45ed7c615fe656211fb5fd515b5df0faa31518
833d5945dbdab024da6248a32cb3b5758ce490f4
d8b00934b5a30c2b15e0a761d4dbac10d89cc836
d3226b0af40311abc2506db4dc05e01416ff8107
06fe5e4d2ed1892bb58e551dc144d7dad2230e50
9b2de5ee838f4880a84c230b6503b3052271b147
47ae21212f023d8a0e7f3fb8a23f8bf58e5ace71
64528913496dfc93a4d33dbcf6dfcea18dfb5e4d
1c0a364d9c746ab96e832de5ea9f912936e4a454
6690a6e886ebaeab887ecced7bd86c121d4d779f
Signer Names:
SPICE & WOK LIMITED
DEVELOPMENT ACTION LTD
Network Activity (Domains Contacted):
Collector-...[.]px-cloud.net/api/v2?
T-oapp[.]ru
Netplus-vpn[.]ru
Netsave-vpn[.]ru
Savematik[.]com
trademc[.]org
Mallbery[.]com
188.114.96.7:443Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Innovazione
Vulnerabilità
Cybercrime
Cybercrime
Innovazione