Settimana 45: quando il malware si nasconde dietro CAPTCHA fraudolenti e presunti aggiornamenti

12.11.2024 - La scorsa settimana l’UFCS ha ricevuto un numero crescente di segnalazioni di siti web compromessi finalizzati a indurre i visitatori ad aggiornare il browser o a risolvere un CAPTCHA. L’obiettivo è quello di infettare con malware i dispositivi dei malcapitati.

L’approccio prevede l’hacking dei server web e la manipolazione dei siti web al fine di spingere la vittima a installare il malware. I truffatori di solito ottengono l’accesso ai server web utilizzando dati di accesso rubati. Inoculano blocchi JavaScript dannosi, inseriscono reindirizzamenti o installano plugin fasulli nel CMS. I due esempi seguenti mostrano i metodi utilizzati dai cibercriminali.

Aggiornamenti fasulli del browser

Immagine 1: Richiesta di aggiornamento di una versione presumibilmente obsoleta di Google Chrome.
Immagine 1: Richiesta di aggiornamento di una versione presumibilmente obsoleta di Google Chrome.

L’importanza degli aggiornamenti è ormai saggezza popolare. Nel primo caso, gli aggressori sfruttano proprio questo fatto per installare del malware. Il tentativo di infezione inizia già accedendo al sito web compromesso. Durante il caricamento della pagina vengono eseguiti il codice JavaScript o il plugin dannoso, reindirizzando il visitatore a una falsa pagina di aggiornamento. L’utente viene quindi istruito a installare il malware sul computer, che si presenta ad esempio come un aggiornamento del browser Google Chrome. Il malware è un «infostealer» come «Vidar Stealer». Vidar raccoglie informazioni sul sistema operativo, sui dati di accesso all’account, sui dati della carta di credito o sulla cronologia di navigazione. Tuttavia, il malware non solo raccoglie dati sensibili, ma può anche essere utilizzato come downloader per altri malware.

CAPTCHA fasulli e uno script Powershell

Immagine 2: Richiesta fraudolenta di risolvere un CAPTCHA
Immagine 2: Richiesta fraudolenta di risolvere un CAPTCHA

Molte persone hanno familiarità con la richiesta nei moduli internet di confermare di essere un umano e non un robot. Questi cosiddetti CAPTCHA chiedono ad esempio di risolvere problemi matematici o selezionare i riquadri con animali, auto, ponti ecc. all’interno di un’immagine. Tuttavia, anche i malintenzionati sfruttano questo meccanismo: attirano gli internauti su una pagina CAPTCHA fasulla, spesso tramite fornitori legittimi compromessi o servizi CAPTCHA pubblicamente accessibili. Facendo clic sul pulsante «Non sono un robot» viene in realtà copiato uno script PowerShell dannoso negli appunti dell’utente. Uno script PowerShell è un file di testo che contiene i comandi che il computer deve eseguire. Agli utenti viene chiesto di inserire ed eseguire questo script premendo il tasto Windows + R e poi Ctrl + V. Il computer si collega quindi a uno dei server degli aggressori e il malware viene scaricato e installato. L’UFCS è stato informato che la diffusione dell’infostealer «Lumma Stealer» avviene proprio in questo modo. «Lumma Stealer» prende di mira i browser web, i portafogli di criptovalute, le estensioni di autenticazione a due fattori e i servizi di messaggistica istantanea come Telegram per estrarre dati preziosi. Come il «Vidar Stealer», il malware è anche in grado di iniettare ulteriori software dannosi e di eseguire comandi.

Raccomandazioni per gli internauti

  • Prestate attenzione quando installate dei programmi. Scaricate programmi esclusivamente da fonti sicure e affidabili;
  • Prestate attenzione se appare una finestra pop-up che vi chiede di aggiornare il browser o il software;
  • Siate prudenti con CAPTCHA inusuali;
  • Chiudete qualsiasi finestra pop-up o con un CAPTCHA potenzialmente dannoso;
  • Seguite le direttive ufficiali per l’aggiornamento del produttore del browser;
  • In caso di dubbio circa malware installati sul proprio computer, rivolgetevi a uno specialista o a un negozio di informatica;
  • Molti programmi nocivi apportano al sistema modifiche sostanziali a cui è difficile porre rimedio. In caso di confermata infezione l’intero sistema deve quindi essere resettato. Eseguire backup regolari facilita il ripristino dei vostri dati;
  • Dopo la reinstallazione, modificate le password per tutti gli accessi online (e-mail, social network, ecc.).

Raccomandazioni per i gestori di siti web

  • Controllate che il vostro sito web non presenti lacune nella sicurezza e assicuratevi che nessuno abbia accesso non autorizzato;
  • Attivate l’autenticazione a due fattori per l’accesso al vostro sito web;
  • Pulite il vostro sito web e rimuovete tutti i contenuti indesiderati;
  • Aggiornate e controllate regolarmente il vostro sito web e i plugin installati;
  • In particolare, installate il più rapidamente possibile gli aggiornamenti disponibili per i sistemi CMS e per tutte le altre applicazioni software, al fine di colmare immediatamente ogni potenziale lacuna di sicurezza.

Numeri e statistiche attuali

Segnalazioni della scorsa settimana per categoria:

Numeri attuali

Ultima modifica 12.11.2024

Inizio pagina

https://www.ncsc.admin.ch/content/ncsc/it/home/aktuell/im-fokus/2024/wochenrueckblick_45.html