Una recente indagine ha portato alla luce una nuova minaccia informatica che sta prendendo di mira gli utenti di Google Chrome. Un’applicazione malevola denominata DriverEasy si sta spacciando per un legittimo aggiornamento del popolare browser al fine di rubare le credenziali degli utenti[1]. Questa sofisticata operazione di spionaggio cibernetico è stata collegata a una campagna nordcoreana nota come “Contagious Interview”[1].
Come Funziona l’Attacco
Il malware DriverEasy, sviluppato utilizzando i linguaggi di programmazione Swift e Objective-C, impiega tattiche ingannevoli per indurre gli utenti a rivelare le proprie credenziali[1]. Una volta eseguito sul sistema della vittima, il malware mette in atto la seguente sequenza di azioni:
- Visualizza un falso messaggio di errore seguito da una richiesta di autenticazione.
- L’avviso imita fedelmente una legittima finestra di dialogo di Google Chrome.
- Gli utenti vengono invitati a inserire la password di sistema in un campo di testo sicuro.
- Le credenziali inserite vengono catturate ed elaborate internamente dal malware.
- La password rubata viene trasmessa a Dropbox utilizzando le API del servizio cloud[1].
Sfruttamento delle API di Dropbox
Una caratteristica particolarmente insidiosa di DriverEasy è il suo utilizzo delle API di Dropbox per esfiltrare i dati rubati. Il malware inizializza la comunicazione con Dropbox sfruttando credenziali OAuth 2.0 preconfigurate, che includono:
- Token di aggiornamento
- ID cliente
- Segreto cliente
Questi parametri consentono al malware di autenticarsi con Dropbox e caricare i dati rubati come un file denominato “password.txt”[1].
Il Processo di Furto dei Dati
Il flusso di lavoro del malware segue questi passaggi:
- Interroga l’indirizzo IP pubblico della vittima utilizzando il servizio
https://api.ipify.org
. - Cattura la password inserita dall’utente.
- Integra la password in un array insieme ad altre stringhe predefinite.
- Prepara i dati per la trasmissione a Dropbox attraverso una richiesta HTTP.
- Crea una richiesta URL per il caricamento del file su Dropbox.
- Include la password rubata nel corpo della richiesta.
- Utilizza il token OAuth per autenticare la richiesta.
- Verifica il successo dell’operazione controllando i codici di stato HTTP[1].
Collegamenti con Altre Applicazioni Malevole
DriverEasy non è un caso isolato. Presenta notevoli somiglianze con altre due varianti di malware attribuite alla Corea del Nord:
Tutte e tre le applicazioni utilizzano le stesse credenziali API di Dropbox per l’esfiltrazione dei dati, suggerendo un’origine comune o risorse di sviluppo condivise[1]. Queste applicazioni impiegano tecniche simili per ingannare gli utenti e rubare informazioni sensibili sotto le sembianze di software legittimi.
Implicazioni per la Sicurezza
La scoperta di DriverEasy mette in luce la crescente sofisticazione delle minacce informatiche che sfruttano piattaforme affidabili come Dropbox per scopi malevoli. Questo incidente sottolinea l’importanza di:
- Esercitare cautela quando si viene sollecitati a inserire credenziali da applicazioni o aggiornamenti inaspettati.
- Implementare robusti meccanismi di rilevamento degli endpoint nelle organizzazioni.
- Monitorare l’utilizzo non autorizzato delle API.
- Comprendere come gli attaccanti sfruttano strumenti legittimi per attività malevole.
Consigli per Proteggersi
Per difendersi da minacce come DriverEasy, ecco alcuni suggerimenti pratici:
- Verificare sempre la fonte degli aggiornamenti: Non fidarsi ciecamente di prompt di aggiornamento inaspettati, specialmente se richiedono l’inserimento di credenziali.
- Mantenere il software aggiornato: Assicurarsi che il sistema operativo e tutte le applicazioni siano sempre aggiornate all’ultima versione disponibile.
- Utilizzare un antivirus affidabile: Installare e mantenere aggiornato un software antivirus di qualità che possa rilevare e bloccare minacce come DriverEasy.
- Abilitare l’autenticazione a due fattori: Attivare l’autenticazione a due fattori (2FA) su tutti gli account importanti, inclusi quelli di Google e Dropbox.
- Essere scettici delle richieste di password: Diffidare di qualsiasi richiesta inaspettata di inserimento della password, soprattutto se proviene da fonti non familiari.
- Educare dipendenti e colleghi: Nelle organizzazioni, è fondamentale formare il personale sui rischi di sicurezza informatica e sulle best practice da seguire.
- Monitorare le attività di rete: Implementare sistemi di monitoraggio della rete per rilevare traffico sospetto o comunicazioni non autorizzate con servizi cloud come Dropbox.
- Utilizzare password manager: Adottare un gestore di password affidabile per generare e memorizzare password complesse in modo sicuro.
- Segmentare la rete: Nelle aziende, implementare una segmentazione della rete per limitare la diffusione di potenziali infezioni.
- Backup regolari: Effettuare backup frequenti dei dati importanti su supporti offline o cloud sicuri.
Il caso di DriverEasy dimostra come i cybercriminali stiano diventando sempre più sofisticati nelle loro tattiche di inganno. Sfruttando la fiducia degli utenti nei confronti di marchi noti come Google Chrome e servizi popolari come Dropbox, riescono a creare attacchi altamente convincenti.
È fondamentale che sia gli utenti individuali che le organizzazioni rimangano vigili e adottino un approccio proattivo alla sicurezza informatica. Mantenere un atteggiamento di sano scetticismo verso richieste inaspettate di credenziali, combinato con l’implementazione di solide pratiche di sicurezza, può fare la differenza tra cadere vittima di un attacco e mantenere i propri dati al sicuro.
La continua evoluzione di minacce come DriverEasy sottolinea l’importanza di rimanere informati sulle ultime tendenze in materia di sicurezza informatica. Solo attraverso una combinazione di consapevolezza, formazione e implementazione di solide misure di sicurezza possiamo sperare di rimanere un passo avanti rispetto ai cybercriminali in questo panorama di minacce in rapida evoluzione.
Fonte: https://gbhackers.com/fake-chrome-update-delivers-drivereasy-malware
***** l’articolo pubblicato è ritenuto affidabile e di qualità*****
Visita il sito e gli articoli pubblicati cliccando sul seguente link