Attualmente ci sono almeno quattro cluster di minacce distinte che utilizzano falsi aggiornamenti del browser per distribuire malware. Proofpoint, nel monitorarli, sta scoprendo che gli update fittizi si riferiscono a siti web compromessi che mostrano quella che sembra essere una notifica dello sviluppatore del browser, come Chrome, Firefox o Edge. Queste notifiche informano che il software del browser deve essere aggiornato. Quando l’utente clicca sul link, non scarica un aggiornamento legittimo, ma un malware pericoloso.
Nelle sue indagini Proofpoint ha individuato che TA569 utilizza falsi aggiornamenti del browser da oltre cinque anni per distribuire il malware SocGholish, ma recentemente altri cybercriminali hanno seguito le sue orme. Ciascun attore utilizza propri metodi per distribuire esca e payload, sfruttando però le stesse tattiche di social engineering. L’utilizzo di falsi aggiornamenti è molto insidioso perché sfrutta la fiducia che gli utenti ripongono nel browser e nei siti conosciuti che visitano.
Attrattiva ed efficacia di un falso aggiornamento del browser
Gli attori delle minacce agiscono a colpo sicuro perché approfittano della formazione alla sicurezza degli utenti, per utilizzarla a proprio favore. Nei training, infatti, viene insegnato di accettare solo aggiornamenti o aprire link provenienti da siti o individui noti e affidabili e di verificare che siano legittimi. I falsi aggiornamenti del browser, compromettendo siti affidabili, sfruttano proprio questa formazione. Per l’utente, il sito sembra essere lo stesso che intendeva visitare e che ora richiede l’update.
Proofpoint non ha identificato gli attori che inviano direttamente email contenenti link dannosi, ma, a causa della natura della minaccia, gli URL compromessi vengono osservati in diversi modi:
- nel traffico di email di utenti che non sono a conoscenza di siti web compromessi,
- nei messaggi di monitoraggio, come gli avvisi di Google,
- nelle campagne email di massa automatizzate, come quelle che distribuiscono newsletter.
Questi messaggi sono quindi valutati pericolosi durante il periodo di compromissione del sito. Le minacce non vanno prese solo come un problema di posta elettronica, poiché gli utenti potrebbero visitare il sito partendo da un’altra fonte, come:
- un motore di ricerca,
- un social media o semplicemente navigarvi direttamente,
- ricevere la richiesta e scaricare potenzialmente il payload dannoso.
Minacce crescenti nei falsi aggiornamenti
I ricercatori di Proofpoint rendono noto che c’è un numero crescente di casi in cui i cybercriminali utilizzano falsi aggiornamenti del browser per indurre le persone a scaricare malware.
“Si tratta di una minaccia degna di nota, che abbina capacità tecniche uniche con il social engineering, per convincere le persone che il loro browser non sia aggiornato. La richiesta di falso aggiornamento è stata osservata condurre a una varietà di malware in grado di rubare dati, controllare a distanza un computer o persino installare ransomware e sta diventando sempre più popolare, probabilmente perché porta risultati. Questa minaccia sfrutta il desiderio di una persona di rendere sicuro il proprio ambiente e proteggere le proprie informazioni, facendo l’esatto contrario, esponendo l’individuo, inconsapevolmente, a malware dannosi”, spiega Dusty Miller, Threat Detection Analyst di Proofpoint.
Le varie campagne di malware filtrano il traffico in modo univoco, per nascondersi dai ricercatori e ritardare la scoperta, ma tutti i metodi sono efficaci nel filtering. Se da un lato ciò può ridurre la potenziale diffusione di payload pericolosi, dall’altro consente agli attori di mantenere l’accesso ai siti compromessi per periodi di tempo più lunghi. Questo complica la risposta, perché con campagne multiple e payload mutevoli, i difensori devono avere il tempo necessario per capire cosa cercare e identificare gli indicatori di compromissione (IOC) pertinenti al momento del download.
Rilevare e prevenire le minacce descritte precedentemente, comporta difficoltà notevoli per i team di sicurezza chiamati a comunicare la minaccia agli utenti. Questo a causa delle tecniche di social engineering e di compromissione dei siti utilizzate dai cybercriminali. La migliore cura è la difesa in profondità. Le aziende devono disporre di rilevamenti di rete, anche utilizzando il set di regole per le minacce emergenti, e adottare la protezione degli endpoint. Inoltre, è necessaria una seria formazione degli utenti, affinché identifichino le attività e segnalino quelle sospette ai team di sicurezza.
