Falsi aggiornamenti del browser per distribuire malware
-
- Tweet
- Pin It
- Condividi per email
-
Proofpoint sta controllando almeno quattro cluster di minacce distinte che si basano su falsi aggiornamenti del browser per distribuire malware. Questi falsi update si riferiscono a siti web compromessi che mostrano quella che sembra essere una notifica dello sviluppatore del browser, come Chrome, Firefox o Edge, e avvisano l’utente che il software del browser deve essere aggiornato. Cliccando sul link lutente però non scarica un aggiornamento legittimo, ma un malware pericoloso.
In base alle ricerche di Proofpoint, TA569 utilizza falsi aggiornamenti del browser da oltre cinque anni per distribuire il malware SocGholish, ma recentemente altri cybercriminali hanno seguito le sue orme. Ciascun attore utilizza propri metodi per distribuire esca e payload, sfruttando però le stesse tattiche di social engineering. L’utilizzo di falsi aggiornamenti è unico nel suo genere perché sfrutta la fiducia che gli utenti ripongono nel browser e nei siti conosciuti che visitano.
Gli attori delle minacce che controllano i falsi aggiornamenti del browser utilizzano codice JavaScript o HTML injected che indirizza il traffico verso un dominio da loro controllato, che può potenzialmente sovrascrivere la pagina web con una richiesta di aggiornamento specifica per il browser utilizzato dalla potenziale vittima. Il payload pericoloso verrà quindi scaricato automaticamente o verrà inviata una richiesta all’utente per il download di un “aggiornamento del browser”, che rilascerà il payload.
Queste esche sono efficaci perché gli attori delle minacce approfittano della formazione alla sicurezza degli utenti, per utilizzarla a proprio favore. Nei training, viene insegnato di accettare solo aggiornamenti o aprire link provenienti da siti o individui noti e affidabili e di verificare che siano legittimi. I falsi aggiornamenti del browser sfruttano proprio questa formazione perché compromettono siti affidabili, utilizzando richieste JavaScript per effettuare silenziosamente controlli in background e sovrascrivere il sito esistente con una richiesta di aggiornamento del browser. Per l’utente, il sito sembra essere lo stesso che intendeva visitare e che ora richiede l’update.
Proofpoint non ha identificato gli attori che inviano direttamente email contenenti link dannosi, ma, a causa della natura della minaccia, gli URL compromessi vengono osservati in diversi modi: nel traffico di email di utenti che non sono a conoscenza di siti web compromessi, nei messaggi di monitoraggio, come gli avvisi di Google, o nelle campagne email di massa automatizzate, come quelle che distribuiscono newsletter. Questi messaggi sono quindi valutati pericolosi durante il periodo di compromissione del sito. Le aziende non devono considerare queste minacce solo come un problema di posta elettronica, poiché gli utenti potrebbero visitare il sito partendo da un’altra fonte, come un motore di ricerca, un social media o semplicemente navigarvi direttamente, ricevere la richiesta e scaricare potenzialmente il payload dannoso.
“Si tratta di una minaccia degna di nota, che abbina capacità tecniche uniche con il social engineering per convincere le persone che il loro browser non sia aggiornato. La richiesta di falso aggiornamento è stata osservata condurre a una varietà di malware in grado di rubare dati, controllare a distanza un computer o persino installare ransomware e sta diventando sempre più popolare, probabilmente perché porta risultati. Questa minaccia sfrutta il desiderio di una persona di rendere sicuro il proprio ambiente e proteggere le proprie informazioni, facendo l’esatto contrario, esponendo l’individuo, inconsapevolmente, a malware dannosi”, ha spiegato Dusty Miller, Threat Detection Analyst di Proofpoint.
Ogni campagna filtra il traffico in modo univoco per nascondersi dai ricercatori e ritardare la scoperta, ma tutti i metodi sono efficaci nel filtering. Se da un lato ciò può ridurre la potenziale diffusione di payload pericolosi, dall’altro consente agli attori di mantenere l’accesso ai siti compromessi per periodi di tempo più lunghi. Questo può complicare la risposta, perché con campagne multiple e payload mutevoli, i difensori devono avere il tempo necessario per capire cosa cercare e identificare gli indicatori di compromissione (IOC) pertinenti al momento del download.
L’attività descritta può essere difficile da rilevare e prevenire per i team di sicurezza e può presentare difficoltà nel comunicare la minaccia agli utenti, a causa delle tecniche di social engineering e di compromissione dei siti utilizzate dai cybercriminali. La migliore mitigazione è la difesa in profondità. Le aziende devono disporre di rilevamenti di rete, anche utilizzando il set di regole per le minacce emergenti, e adottare la protezione degli endpoint. Inoltre, devono formare gli utenti affinché identifichino le attività e segnalino quelle sospette ai team di sicurezza.
Contenuti correlati
-
Oltre la security awareness, verso un cambiamento comportamentale di lungo termineLuca Maiocchi, Country Manager, Proofpoint Negli ultimi anni si è discusso molto tra operatori, analisti e vendor sul tema della sensibilizzazione alla sicurezza, sui fattori che permettono di costruire un buon programma, sui metodi di misurazione e...
-
Artificial Intelligence: scudo e spada nella cybersecurity modernaDaniel Rapp, Group Vice President, AI/ML, Proofpoint, riassume le opportunità e le sfide che la rapida diffusione dell’AI sta portando alle aziende in tema di sicurezza cyber. L’intelligenza artificiale è sulla bocca di tutti, e il mondo...
-
Gli attacchi alla supply chain mettono il business a rischioDi Ferdinando Mancini, Director, Southern Europe Sales Engineering, Proofpoint I criminali informatici sono sempre più audaci e sofisticati nei loro metodi e si servono di spoofing o dell’appropriazione di account legittimi per violare la sicurezza aziendale e...
-
Proofpoint: aumenta la preoccupazione dei CISO italiani nel 2024Chief Information Security Officer (CISO) più preoccupati: questo è uno dei trend che emerge dall’edizione 2024 del report annuale Voice of the CISO di Proofpoint. Il report analizza sfide, aspettative e priorità principali riportate dai CISO a...
-
Il panorama delle minacce è in continua evoluzione: cosa dobbiamo aspettarci nel 2024Selena Larson, Senior Threat Intelligence Analyst di Proofpoint, illustra i principali trend che prenderanno piede nei prossimi mesi in tema di cybersecurity Nessuno sa quale sarà la prossima Big Thing nel panorama delle minacce. Ma possiamo certo...
-
Proofpoint segnala il ritorno del Gruppo TA866 con un’estesa campagna email
I ricercatori di Proofpoint hanno identificato il ritorno di TA866 nei dati delle campagne di minacce via email, dopo nove mesi di assenza. L’11 gennaio 2024, l’azienda ha bloccato una campagna massiccia, composta da diverse migliaia di...
-
Proofpoint: il ritorno del malware Qbot
Il malware QakBot, noto anche come Qbot, è stato nuovamente identificato in campagne di phishing, dopo essere stato bloccato dalle forze dell’ordine durante l’estate. Lo scorso agosto, un’operazione multinazionale delle forze dell’ordine chiamata Operation Duck Hunt ha...
-
Nuovo CEO a ProofpointProofpoint ha nominato Sumit Dhawan Chief Executive Officer, con effetto immediato. Rémi Thomas, chief financial officer di Proofpoint, che ha svolto il ruolo di CEO ad interim dal 25 ottobre, continuerà a ricoprire il ruolo di CFO...
-
Autenticazione delle email, sta per arrivare la nuova rivoluzione della cybersecurityGoogle e Yahoo stanno per cambiare i requisiti di autenticazione delle email, rendendoli più stringenti. Che cosa cambia per le aziende che usano questo canale per comunicare con clienti e prospect? Chi ha un account di posta...
-
Quando la minaccia arriva dall’interno. I trend attuali in tema di insider riskDi Luca Maiocchi, Country Manager, Proofpoint Italia “Gli attaccanti esterni sono l’unica minaccia per le risorse aziendali”: già nel 2017 McKinsey aveva giustamente definito questa affermazione un mito. Oggi sembra che un numero maggiore di aziende stia...
Scopri le novità scelte per te
-
Oltre la security awareness, verso un cambiamento comportamentale di lungo termine
Luca Maiocchi, Country Manager, Proofpoint Negli ultimi anni si è discusso molto tra operatori, analisti e vendor...
-
Artificial Intelligence: scudo e spada nella cybersecurity moderna
Daniel Rapp, Group Vice President, AI/ML, Proofpoint, riassume le opportunità e le sfide che la rapida diffusione...
News/Analysis Tutti ▶
-
Lauterbach e Kernkonzept semplificano lo sviluppo di sistemi RISC-VLauterbach e Kernkonzept stanno collaborando per consentire lo sviluppo e i test sulle future...
-
Accordo di distribuzione tra eInfochips e InfineoneInfochips, una società di Arrow Electronics, ha siglato un accordo pluriennale di distribuzione software...
-
Il driver LED ‘Fit and forget’ di RECOMRACV22-24SW è un driver LED a tensione costante, con ingresso AC, di RECOM. Questo...
Products Tutti ▶
-
Nuovi connettori USB 2.0 Type C da Same SkyL’ Interconnect Group di Same Sky ha annunciato l’espansione della sua linea di connettori...
-
Murata: timing device per automotiveMurata ha annunciato la serie di dispositivi di timing XRCGE_M_F, o HCR. Si tratta...
-
Soluzioni Green per l’automotive da WinbondWinbond ha annunciato i suoi prodotti DRAM LPDDR4/4X concepiti specificamente per le applicazioni automotive...
