Proofpoint sta attualmente monitorando almeno quattro cluster di minacce distinte che utilizzano falsi aggiornamenti del browser per distribuire malware. Gli update fittizi si riferiscono a siti web compromessi che mostrano quella che sembra essere una notifica dello sviluppatore del browser, come Chrome, Firefox o Edge, informando che il software del browser deve essere aggiornato. Quando l’utente clicca sul link, non scarica un aggiornamento legittimo, ma un malware pericoloso.
In base alle ricerche di Proofpoint, TA569 utilizza falsi aggiornamenti del browser da oltre cinque anni per distribuire il malware SocGholish, ma recentemente altri cybercriminali hanno seguito le sue orme. Ciascun attore utilizza propri metodi per distribuire esca e payload, sfruttando però le stesse tattiche di social engineering. L’utilizzo di falsi aggiornamenti è unico nel suo genere perché sfrutta la fiducia che gli utenti ripongono nel browser e nei siti conosciuti che visitano.
Gli attori delle minacce che controllano i falsi aggiornamenti del browser utilizzano codice JavaScript o HTML injected che indirizza il traffico verso un dominio da loro controllato, che può potenzialmente sovrascrivere la pagina web con una richiesta di aggiornamento specifica per il browser utilizzato dalla potenziale vittima. Il payload pericoloso verrà quindi scaricato automaticamente o verrà inviata una richiesta all’utente per il download di un “aggiornamento del browser”, che rilascerà il payload.
Attrattiva ed efficacia di un falso aggiornamento del browser
Queste esche sono efficaci perché gli attori delle minacce approfittano della formazione alla sicurezza degli utenti, per utilizzarla a proprio favore. Nei training, viene insegnato di accettare solo aggiornamenti o aprire link provenienti da siti o individui noti e affidabili e di verificare che siano legittimi. I falsi aggiornamenti del browser sfruttano proprio questa formazione perché compromettono siti affidabili, utilizzando richieste JavaScript per effettuare silenziosamente controlli in background e sovrascrivere il sito esistente con una richiesta di aggiornamento del browser. Per l’utente, il sito sembra essere lo stesso che intendeva visitare e che ora richiede l’update.
Proofpoint non ha identificato gli attori che inviano direttamente email contenenti link dannosi, ma, a causa della natura della minaccia, gli URL compromessi vengono osservati in diversi modi: nel traffico di email di utenti che non sono a conoscenza di siti web compromessi, nei messaggi di monitoraggio, come gli avvisi di Google, o nelle campagne email di massa automatizzate, come quelle che distribuiscono newsletter. Questi messaggi sono quindi valutati pericolosi durante il periodo di compromissione del sito. Le aziende non devono considerare queste minacce solo come un problema di posta elettronica, poiché gli utenti potrebbero visitare il sito partendo da un’altra fonte, come un motore di ricerca, un social media o semplicemente navigarvi direttamente, ricevere la richiesta e scaricare potenzialmente il payload dannoso.
I ricercatori di Proofpoint hanno identificato un numero crescente di casi in cui i cybercriminali utilizzano falsi aggiornamenti del browser per indurre le persone a scaricare malware.
“Si tratta di una minaccia degna di nota, che abbina capacità tecniche uniche con il social engineering per convincere le persone che il loro browser non sia aggiornato. La richiesta di falso aggiornamento è stata osservata condurre a una varietà di malware in grado di rubare dati, controllare a distanza un computer o persino installare ransomware e sta diventando sempre più popolare, probabilmente perché porta risultati. Questa minaccia sfrutta il desiderio di una persona di rendere sicuro il proprio ambiente e proteggere le proprie informazioni, facendo l’esatto contrario, esponendo l’individuo, inconsapevolmente, a malware dannosi”, spiega Dusty Miller, Threat Detection Analyst di Proofpoint.
Ogni campagna filtra il traffico in modo univoco per nascondersi dai ricercatori e ritardare la scoperta, ma tutti i metodi sono efficaci nel filtering. Se da un lato ciò può ridurre la potenziale diffusione di payload pericolosi, dall’altro consente agli attori di mantenere l’accesso ai siti compromessi per periodi di tempo più lunghi. Questo può complicare la risposta, perché con campagne multiple e payload mutevoli, i difensori devono avere il tempo necessario per capire cosa cercare e identificare gli indicatori di compromissione (IOC) pertinenti al momento del download.
L’attività descritta può essere difficile da rilevare e prevenire per i team di sicurezza e può presentare difficoltà nel comunicare la minaccia agli utenti, a causa delle tecniche di social engineering e di compromissione dei siti utilizzate dai cybercriminali. La migliore mitigazione è la difesa in profondità. Le aziende devono disporre di rilevamenti di rete, anche utilizzando il set di regole per le minacce emergenti, e adottare la protezione degli endpoint. Inoltre, devono formare gli utenti affinché identifichino le attività e segnalino quelle sospette ai team di sicurezza.
