Una campagna malware, che fa leva su falsi aggiornamenti dei browser, si sta rapidamente diffondendo online.
Attraverso un report proposto dai ricercatori di Rapid7, è stato possibile individuare questa strategia malevole che sfrutta file binari dannosi e un loader, per distribuire diversi infostealer come StealC, Lumma e Amadey.
Nonostante questo tipo di strategia non sia nuova, questa campagna si dimostra alquanto avanzata e preoccupante, anche vista la raffinatezza degli agenti malevoli utilizzati dai cybercriminali.
Rapid7 ha scoperto il lodader in questione, chiamato IDAT, nel luglio 2023. Questo si avvale di alcune tecniche avanzate per risultare più efficace, come il processo di Doppelganging e Heaven’s Gate (Un metodo per eseguire codice a 64 bit in un processo a 32 bit sfruttato dai criminali informatici per mascherare malware)..
Prima di questa tecnica, gli autori delle minacce utilizzavano file JavaScript dannosi per connettersi ai server C2 o distribuire dei RAT.
I falsi aggiornamenti browser possono costare molto caro alle vittime
IDAT è uno dei caricatori più recenti e sofisticati utilizzati attivamente dagli autori delle minacce per eseguire infostealer e agenti malevoli simili. Questo è offuscato sfruttando DLL caricati da programmi legittimi come VMWarehost, Python e Windows Defender sfruttando anche i suddetti fantomatici aggiornamenti del browser.
Il pericolo concreto, così come con tutti gli infostealer, è quello di subire la perdita di dati sensibili: si spazia dai cookie del browser, fino alla cronologia di navigazione, finendo ovviamente in ambiti ancora più critici, come password e credenziali delle carte di credito.
Come evitare rischi? Oltre all’adozione di un antivirus di alto livello e a un elevato grado di prudenza, è bene valutare bene quando vengono proposti aggiornamenti (del browser e non solo).
In caso di dubbio può essere utile, per esempio, non accettare eventuali download ma controllare prima sul sito ufficiale del browser. Se è vero che Chrome propone costanti aggiornamenti per la sicurezza, è bene controllare che le patch siano effettive e non una semplice esca.