Il malware ChromeLoader sta registrando un’impennata di rilevamenti questo mese, dopo un volume relativamente stabile dall’inizio dell’anno, facendo sì che il dirottamento del browser diventi una minaccia diffusa.

ChromeLoader è un browser hijacker che può modificare le impostazioni del browser web della vittima per mostrare risultati di ricerca che promuovono software indesiderati, falsi omaggi e sondaggi, giochi per adulti e siti di incontri.

Gli operatori del malware ottengono guadagni finanziari attraverso un sistema di affiliazione commerciale, reindirizzando il traffico degli utenti verso siti pubblicitari.

Esistono molti hijacker di questo tipo, ma ChromeLoader si distingue per la sua persistenza, il volume e il percorso di infezione, che prevede l’uso aggressivo di PowerShell.

Abuso di PowerShell

Secondo i ricercatori di Red Canary, che hanno seguito l’attività di ChromeLoader dal febbraio di quest’anno, gli operatori del dirottatore utilizzano un file di archivio ISO dannoso per infettare le loro vittime.

L’ISO si presenta come un eseguibile craccato di un gioco o di un software commerciale, per cui è probabile che le vittime lo scarichino da sole da siti torrent o maligni.

I ricercatori hanno anche notato post su Twitter che promuovono giochi Android craccati e offrono codici QR che portano a siti che ospitano malware.

Quando una persona fa doppio clic sul file ISO in Windows 10 o successivo, il file ISO viene montato come unità CD-ROM virtuale. Questo file ISO contiene un eseguibile che finge di essere un crack o un keygen del gioco, utilizzando nomi come “CS_Installer.exe“.

Infine, ChromeLoader esegue e decodifica un comando PowerShell che recupera un archivio da una risorsa remota e lo carica come estensione di Google Chrome.

Una volta fatto ciò, PowerShell rimuoverà l’attività pianificata lasciando Chrome infettato con un’estensione iniettata silenziosamente che dirotta il browser e manipola i risultati dei motori di ricerca.

Anche macOS è stato preso di mira

Gli operatori di ChromeLoader prendono di mira anche i sistemi macOS, cercando di manipolare sia Chrome che il browser web Safari di Apple.

La catena di infezione su macOS è simile, ma invece di ISO, gli attori della minaccia utilizzano file DMG (Apple Disk Image), un formato più comune su questo sistema operativo.

Inoltre, al posto dell’eseguibile di installazione, la variante macOS utilizza uno script bash di installazione che scarica e decomprime l’estensione ChromeLoader nella directory “private/var/tmp”.

“Per mantenere la persistenza, la variante macOS di ChromeLoader aggiunge un file di preferenze (plist) alla directory /Library/LaunchAgents“, spiega il rapporto di Red Canary.

“In questo modo, ogni volta che un utente accede a una sessione grafica, lo script Bash di ChromeLoader può essere continuamente eseguito“.

Il trojan bancario Android ERMAC ha rilasciato la versione 2.0, aumentando il numero di applicazioni prese di mira da 378 a 467, coprendo una gamma molto più ampia di app per rubare le credenziali dei conti e i portafogli di criptovalute.

L’obiettivo del trojan è quello di inviare le credenziali di accesso rubate agli attori delle minacce, che poi le utilizzano per prendere il controllo dei conti bancari e di criptovaluta di altre persone e condurre frodi finanziarie o di altro tipo.

ERMAC è attualmente venduto ai membri dei siti del dark web a un prezzo di abbonamento di 5.000 dollari al mese, 2.000 dollari in più rispetto alla prima versione, a testimonianza dell’aggiornamento delle funzionalità e della sua popolarità.

Applicazione falsa Bolt Food

La prima campagna di malware che utilizza il nuovo malware ERMAC 2.0 è una falsa applicazione Bolt Food destinata al mercato polacco.

Secondo i ricercatori ESET, gli attori delle minacce hanno distribuito l’applicazione Android attraverso il sito web “bolt-food[.]site“, spacciandosi per il legittimo servizio europeo di consegna di cibo.

Gli utenti finiscono probabilmente sul sito falso tramite un’e-mail di phishing, post malevoli sui social media, smishing, malvertising, ecc. Se scaricano l’applicazione, ricevono una richiesta di autorizzazione che richiede il controllo completo del dispositivo.

La concessione dell’accesso al Servizio di accessibilità è necessaria per servire gli overlay delle applicazioni, che inducono la vittima a inserire le proprie credenziali in moduli che sembrano legittimi ma sono solo cloni delle interfacce delle applicazioni reali.

Cyble ha esaminato il malware per un’analisi tecnica più approfondita e conferma che si concede 43 permessi al momento dell’installazione (tramite Accessibility), tra cui l’accesso agli SMS, l’accesso ai contatti, la creazione di finestre di avviso del sistema, la registrazione audio e l’accesso completo alla lettura e alla scrittura dello storage.

Individuare una miriade di applicazioni

ERMAC determina innanzitutto quali applicazioni sono installate sul dispositivo host e poi invia le informazioni al server C2.

La risposta contiene i moduli di iniezione che corrispondono all’elenco di applicazioni in forma HTML crittografata, che il malware decifra e memorizza nel file delle preferenze condivise come “setting.xml“.

Come funziona Ermac 2.0?

Quando la vittima tenta di avviare l’applicazione reale, si verifica l’azione di iniezione e viene caricata una pagina di phishing sopra la GUI reale. Le credenziali raccolte vengono inviate allo stesso C2 che ha fornito le iniezioni.

I comandi supportati da ERMAC 2.0 sono i seguenti:

• downloadingInjections – Invia l’elenco delle applicazioni per scaricare le iniezioni.
• logs – Invia i log delle iniezioni al server
• checkAP – Controlla lo stato dell’applicazione e lo invia al server
• registration – Invia i dati del dispositivo
• updateBotParams – Invia i parametri aggiornati del bot.
• downloadInjection – Utilizzato per ricevere la pagina HTML di phishing.

Le app bancarie prese di mira da EMAC 2.0 includono istituti di tutto il mondo, rendendo l’app adatta alla distribuzione in molti Paesi. Inoltre, vengono rubati anche popolari portafogli di criptovalute e app di gestione patrimoniale.

Gli analisti di Cyble hanno trovato molte somiglianze con il malware “Cerberus“, quindi sembra che la seconda versione del potente trojan sia basata su di esso.

L’ampio elenco di applicazioni supportate lo rende un malware potente, ma vale la pena notare che incontrerebbe problemi nelle versioni 11 e 12 di Android, grazie alle restrizioni aggiuntive aggiunte da Google per prevenire l’abuso dell’Accessibility Service.

Per prevenire le infezioni da trojan Android, evitare di scaricare APK dall’esterno del Play Store, soprattutto da siti web che non avete confermato essere legittimi.

Il Threat Analysis Group (TAG) di Google, che è attivamente alla ricerca di vulnerabilità, ha segnalato nove zero-day che interessavano Chrome, Android, Apple e Microsoft lo scorso luglio.

Una vulnerabilità zero-day è una vulnerabilità del software scoperta dagli aggressori prima che il fornitore ne sia a conoscenza.

Mentre le vulnerabilità sono state affrontate dalle rispettive aziende, Google ha ora dettagliato quella che sembra essere una campagna mirata contro gli utenti Android con cinque distinte vulnerabilità zero-day.

Secondo Google, i malintenzionati hanno utilizzato gli exploit zero-day insieme agli exploit n-day (vulnerabilità zero-day che sono state rese pubbliche, alias vulnerabilità one-day) per sfruttare la differenza di tempo tra il momento in cui alcuni bug critici sono stati patchati ma non segnalati come problemi di sicurezza e il momento in cui queste patch sono state completamente distribuite nell’ecosistema Android. Tutte e tre le campagne che il team TAG di Google stava monitorando sono state veicolate tramite link una tantum camuffati da servizi di accorciatori di URL agli utenti Android presi di mira tramite e-mail. Una volta cliccato, il link reindirizzava l’utente a un dominio di proprietà dell’aggressore che forniva gli exploit prima di reindirizzare il browser a un sito web legittimo. Tuttavia, se il link non era attivo, l’utente veniva reindirizzato direttamente a un sito web legittimo.

Google afferma che l’obiettivo di queste campagne era limitato a meno di un centinaio di utenti. L’azienda sostiene che questa tecnica è stata utilizzata contro giornalisti e altri obiettivi non identificati, avvisandoli quando possibile. Google afferma che tutti e cinque gli exploit che hanno preso di mira gli utenti Android sono stati confezionati da un’unica società commerciale di sorveglianza chiamata Cytrox e venduti a diversi attori sostenuti dal governo che operano in Egitto, Armenia, Grecia, Madagascar, Costa d’Avorio, Serbia, Spagna e Indonesia. Il rapporto afferma inoltre che sette dei nove zero-days scoperti da TAG nel 2021 sono stati sviluppati da fornitori commerciali e venduti ad attori sostenuti dal governo. Google afferma che il suo team TAG sta attualmente monitorando oltre 30 fornitori con “vari livelli di sofisticazione e di esposizione pubblica” che vendono exploit o capacità di sorveglianza ad attori sostenuti dai governi.