Sembra che una sofisticata campagna di malware sia in atto da circa 4 mesi, e che i ricercatori per la sicurezza stiano adesso comunicando le caratteristiche di un piano evasivo. I ricercatori di Malwarebytes e altre società di sicurezza informatica hanno analizzato molteplici infezioni e la loro origine, solo per trovare una più grossa sorpresa.
La campagna “FakeUpdates” compromette i siti in WordPress e Joomla
Si afferma che la campagna è iniziata nel dicembre 2017 e si è protratta per un po’ di tempo. La campagna è soprannominata “FakeUpdates” poiché sono state fatte offerte di aggiornamento illecito a utenti ignari. Quando questi hanno accettato di scaricare i presunti aggiornamenti utili, in realtà hanno ottenuto malware. Recentemente, molti siti web hanno avuto il piacere di essere hackerati. I negozi con Magento sono stati compromessi e inconsapevolmente hanno aiutato gli hacker a diffondere malware, rubare dettagli della carta di credito e diffondere cripto-miner. Un altro colpo è avvenuto contro il sito Web GitHub, quando un attacco DDoS ha chiuso il suo sito web per circa 10 minuti.
Le prime tracce di questa campagna “FakeUpdate” sono state rilevate alla fine di dicembre 2017, ma i ricercatori non sono stati in grado di mettere insieme tutti i pezzi e capire che gli aggiornamenti falsi facevano parte di un piano ben organizzato. Secondo le fonti, diverse piattaforme di siti Web sono state compromesse durante questa campagna. La maggior parte dei siti Web è stata compromessa perché non erano stati aggiornati in tempo utile. Pertanto, contenevano vulnerabilità sfruttate dai criminali informatici.
Molti siti in WordPress e Joomla hanno distribuito inconsapevolmente falsi aggiornamenti di Chrome, Firefox e altri di programmi popolari. Abbiamo già discusso di diversi incidenti che hanno coinvolto siti Web in WordPress: a gennaio, 5 mila siti Web sono stati compromessi e modificati per diffondere key-logger.
Maggiori dettagli su questa campagna di distribuzione di malware
[Rif name = “ricercatori di FireEye” url=”https://www.fireeye.com/blog/threat-research/2018/04/fake-software-update-abuses-netsupport-remote-access-tool.html”] ha indicato che queste notifiche canaglia sono state utilizzate allo scopo di distribuire diversi programmi maligni, ma hanno trasmesso anche lo strumento di accesso remoto (RAT) di NetSupport Manager. Anche se questo programma è disponibile in commercio e legittimo, questo non impedisce agli hacker di abusare dell’applicazione installandolo nei sistemi delle vittime a loro insaputa per ottenere l’accesso non autorizzato alle loro macchine.
I ricercatori hanno dichiarato che La capagna FakeUpdates è una truffa ben pensata. I JavaScripts iniziali contengono manovre di offuscamento che ne impediscono il rilevamento da parte dei programmi di sicurezza. Inoltre, il malware contiene fattori intelligenti che rendono difficile per i ricercatori analizzarlo.
Il dwnload di aggiornamento o, in altre parole, il file JavaScript, raccoglie informazioni sui computer delle vittime e le trasferisce al server che invia i comandi per il file. Una volta che JavaScript è stato eseguito correttamente, la versione finale del malware viene scaricata con il nome di “Update.js”. A prima vista, sembra un file per un aggiornamento, ma in realtà è dannoso.
In teoria, gli aggiornamenti falsi non dovrebbero essere più un problema in quanto una moltitudine di ricercatori per la sicurezza ricorda costantemente agli utenti di installare solo aggiornamenti da fonti affidabili. Tuttavia, gli aggiornamenti falsi di Google Chrome e Mozilla Firefox continuano a prosperare e a distribuire ransomware, trojan, keylogger e altri tipi di contenuti dannosi.
Fonte: https://www.2-viruses.com/fakeupdates-campaign-website