Chrome: falsi errori fanno eseguire script PowerShell dannosi

Una nuova campagna di distribuzione di malware utilizza falsi errori di Google Chrome, Word e OneDrive per indurre gli utenti a eseguire "correzioni" dannose di PowerShell che installano malware. La nuova campagna viene utilizzata da più autori di minacce, inclusi quelli dietro ClearFake, un nuovo cluster di attacco chiamato ClickFix e TA571. Quest’ultimo è noto per operare come distributore di spam che invia grandi volumi di e-mail, portando a infezioni da malware e ransomware. I precedenti attacchi ClearFake utilizzano sovrapposizioni di siti web che spingono i visitatori a installare un falso aggiornamento del browser che installa malware. Nei nuovi attacchi gli hacker utilizzano JavaScript anche negli allegati HTML e nei siti web compromessi. Tuttavia, ora gli overlay visualizzano falsi errori di Google Chrome, Microsoft Word e OneDrive.

Questi errori spingono l’utente a fare clic su un pulsante per copiare una "correzione" di PowerShell negli appunti. In seguito, verrà incollata ed eseguita in una finestra di dialogo Esegui o in un prompt di PowerShell. Come rivelato in un report della società di sicurezza ProofPoint: "la catena di attacco richiede una significativa interazione da parte dell'utente per avere successo. Tuttavia, l'ingegneria sociale è abbastanza intelligente da presentare a qualcuno quello che sembra un problema reale e allo stesso tempo una soluzione, che può indurre l'utente ad agire senza considerare il rischio”. I payload segnalati da Proofpoint includono DarkGate, Matanbuchus, NetSupport, Amadey Loader, XMRig, un dirottatore di appunti e Lumma Stealer.

Falsi errori Chrome: le tre catene di attacco rilevate da Proofpoint

Proofpoint ha osservato tre catene di attacchi. Queste si differenziano principalmente nelle fasi iniziali. Il primo caso è stato associato agli hacker di ClearFake. Inizialmente, gli utenti visitano un sito web compromesso che carica uno script dannoso ospitato sulla blockchain tramite i contratti Smart Chain di Binance. Questo esegue alcuni controlli e visualizza un falso avviso di Chrome che indica un problema nella visualizzazione della pagina. Viene quindi richiesto di installare un "certificato root" copiando uno script di PowerShell negli appunti per eseguirlo in una console di Windows PowerShell (amministratore).  Fatto ciò, lo script PowerShell eseguirà vari passaggi per confermare che il dispositivo è una destinazione valida, quindi scaricherà payload aggiuntivi.

La seconda catena di attacco è associata a "ClickFix" e utilizza un'iniezione su siti web compromessi. Questa crea un iframe per sovrapporre un altro falso errore di Chrome. Viene richiesto di aprire "Windows PowerShell (Admin)" e incollare il codice fornito, causando le stesse infezioni già menzionate. Infine, una catena di infezioni basata su e-mail che utilizza allegati HTML simili a documenti di Word richiede agli utenti di installare l'estensione "Word Online" per visualizzare correttamente il documento. L’errore offre le opzioni "Come risolvere" e "Correzione automatica". Il primo copia un comando PowerShell con codifica base64 negli appunti, indicando all'utente di incollarlo in PowerShell. Il secondo utilizza il protocollo search-ms per visualizzare un file "fix.msi" o "fix.vbs" ospitato da WebDAV su una condivisione file remota controllata da un hacker. I comandi di PowerShell scaricano ed eseguono un file MSI o uno script VBS, causando rispettivamente infezioni Matanbuchus o DarkGate.

In tutti i casi, gli hacker sfruttano la mancanza di consapevolezza dei loro obiettivi sui rischi derivanti dall'esecuzione dei comandi PowerShell sui sistemi. Questi sfruttano inoltre l'incapacità di Windows di rilevare e bloccare le azioni dannose avviate dal codice incollato.