Da fine agosto, un attacco di ingegneria sociale o SocEng chiamato Roboto Condensed, ha iniziato ad attaccare vari siti, distribuendo keylogger, miner e downloader. Questo attacco mostra ai visitatori che navighino sui siti infetti, un falso avviso di Google Chrome che invita a installare il "Roboto Condensed Font Pack" per poter visualizzare la pagina.
La vittima che decida di installare questo falso aggiornamento, vedrà il proprio PC compromesso da un malware come il keylogger Ursnif, un Miners o altri tipi di trojan, in base appunto a qualche malware è in distribuzione al momento dell'infezione. A partire da domenica, questo attacco viene usato anche per distribuire pacchetti di software di basso livello assieme a vari tipi di adware.
Roboto Condensed e i malware "bundled"
Dall'analisi di Malware Breakdown è emerso come i cyber-criminali abbiano aggiunto all'attacco Roboto Condensed adware collegati per rendere ancora più efficace il proprio attacco.
Nel caso in analisi, l'adware collegato sembra provenire dalla società InstallCapital, specializzata nella monetizzazione della distribuzione di software pay-per-install. L'immagine sotto mostra le richieste di rete dall'installer di InstallCapital (fonte BleepingComputer).
Dall'analisi di Malware Breakdown è emerso come i cyber-criminali abbiano aggiunto all'attacco Roboto Condensed adware collegati per rendere ancora più efficace il proprio attacco.
Nel caso in analisi, l'adware collegato sembra provenire dalla società InstallCapital, specializzata nella monetizzazione della distribuzione di software pay-per-install. L'immagine sotto mostra le richieste di rete dall'installer di InstallCapital (fonte BleepingComputer).
Quando questi bundled vengono eseguiti, si connetteranno a siti remoti (vedi sopra) e eseguiranno il download di un file criptato di configurazione contenente gli url,i command line e l'EULA dei vari software che poi saranno installati in quella specifica sessione. Queste configurazioni variano ovviamente a seconda del tipo di browser installato, della versione di Windows e della locazione geografica del computer.
Il bundle incluso in questo attacco present una grande varietà di programmi e adware indesiderati, come clicker e PUP (Potentially Unwanted Program) quali System Healer, Runbooster, Videsquare, Locker DNS e Interstat e altri software dannosi.
L'immagine sopra mostra come un utente abbia la possibilità di optare fra varie "possibilità", quindi è importante non lasciarsi ingannare da queste opzioni di fantasia. Una volta che il programma viene eseguito, questi programmi elencati (e non solo) saranno automaticamente installati sul computer senza che l’utente debba alzare un dito.
Il computer visualizzerà quindi popup in maniera insistente, inizierà a connettersi a siti remoti, modificherà le impostazioni DNS e Internet, inizierà il mining di diverse cripto-monete, dirotterà il browser, visualizzerà falsi avvisi di sicurezza e sovraccaricherà il PC (vedi immagine sotto: fonte Bleeping Computer).
Ma non è tutto. Alcuni dei crapware installati, inoltre, scaricheranno ed installeranno altri programmi indesiderati, fino a rendere il PC inutilizzabile.
Non solo Adware…
Purtroppo, gli adware sono solo uno dei tipi di malware distribuiti dall'attacco Roboto Condensed. Ciò è dovuto al fatto che gli attaccanti cambiano periodicamente il malware che viene distribuito, attraverso finti aggiornamenti, in modo che a volte sia in distribuzione un miner di cripto-valuta (noti per sovraccaricare e quindi quasi paralizzare la macchina), un keylogger o un Trojan donwloader.
È evidente che se si incontra un sito web che indica che è necessario installare un aggiornamento di questo tipo per il browser, bisogna semplicemente ignorare l'avviso e chiudere il sito in questione. Quasi tutti i moderni browser contengono meccanismi integrati per controllare i nuovi aggiornamenti e richiedono l’autorizzazione dell’utente prima di procedere con l'installazione.
Nessuno degli attuali e più diffusi browser notifica gli aggiornamenti sotto forma di popup o avvisi da un sito web.
Nessuno degli attuali e più diffusi browser notifica gli aggiornamenti sotto forma di popup o avvisi da un sito web.
Nessun commento:
Posta un commento