Gli aggiornamenti falsi del browser stanno diffondendo malware BitRAT e Lumma Stealer

I ricercatori di cybersecurity dell’Unità di Risposta alle Minacce (TRU) di eSentire hanno rilevato casi di aggiornamenti falsi del browser che distribuiscono diverse infezioni da malware, inclusi trojan di accesso remoto (RAT) e malware che ruba informazioni, BitRAT e Lumma Stealer (noto anche come LummaC2).

Secondo un recente rapporto della società di cybersecurity eSentire, questi aggiornamenti falsi del browser sono anche responsabili del noto malware SocGholish, che è stato identificato in nuovi attacchi.

Nel 2024, è stato osservato che FakeBat è stato distribuito utilizzando meccanismi di aggiornamento falsi simili.

L’attacco inizia quando una potenziale vittima visita un sito web compromesso contenente codice JavaScript malevolo iniettato che indirizza l’utente alla pagina di aggiornamento falso del browser, come “chatgpt-app[.]cloud”.

Inoltre, il sito chatgpt-app[.]cloud contiene un link per scaricare un archivio ZIP (“Update.zip”), che è ospitato sulla rete di distribuzione dei contenuti (CDN) di Discord e scaricato automaticamente sul dispositivo della vittima.

“Il file JavaScript (Update.js) contenuto nell’archivio ZIP funge da downloader iniziale per recuperare i payload una volta eseguito dalla vittima. L’archivio contiene diversi script PowerShell responsabili del download e dell’esecuzione del loader e dei payload della fase successiva da http://77[.]221[.]151[.]31,” ha affermato il rapporto.

“L’indirizzo IP identificato nello script PowerShell è un noto indirizzo di comando e controllo (C2) di BitRAT, che ospita sia i payload di BitRAT che di Lumma Stealer. I file hanno l’estensione .png, ma contengono il loader, meccanismi di persistenza e i payload.”

Il rapporto ha aggiunto ulteriormente, “I due file contenenti i payload malevoli a.png e s.png includono un bypass AMSI, il codice che sfrutta la riflessione in .NET per caricare ed eseguire dinamicamente il payload all’interno del processo RegSvcs.exe.”

eSentire osserva che il downloader è probabilmente pubblicizzato come un “servizio di consegna malware” perché viene utilizzato per distribuire sia BitRAT che Lumma Stealer.

BitRAT è uno strumento di accesso remoto versatile che consente agli attaccanti un controllo diffuso sui sistemi infetti. Permette loro di raccogliere dati, rubare informazioni sensibili, monitorare l’attività degli utenti, scaricare binari aggiuntivi e persino distribuire ulteriori malware.

D’altra parte, Lumma Stealer è un ladro di informazioni commerciale capace di raccogliere informazioni preziose, come portafogli di criptovalute, estensioni del browser per 2FA e altri dati sensibili, dai computer delle vittime.

“L’imbroglio dell’aggiornamento falso del browser è diventato comune tra gli attaccanti come mezzo di accesso a un dispositivo o rete,” ha affermato la società, aggiungendo che “dimostra la capacità dell’operatore di sfruttare nomi di fiducia per massimizzare la portata e l’impatto.”

Gli hacker spesso utilizzano Discord come vettore di attacco per il malware. Un’analisi recente di Bitdefender ha rivelato che oltre 50.000 link pericolosi sono stati circolati negli ultimi sei mesi per distribuire malware, campagne di phishing e spam.

Nel frattempo, uno studio separato di ReliaQuest ha rivelato che una nuova variante della campagna ClearFake inganna gli utenti a copiare, incollare ed eseguire manualmente codice PowerShell malevolo sotto le spoglie di un aggiornamento falso del browser.

Questo ha portato all’installazione del malware LummaC2, che è stato uno dei principali ladri di informazioni nel 2023, come notato da un altro rapporto di ReliaQuest.

“Il numero di log ottenuti da LummaC2 messi in vendita è aumentato del 110% dal Q3 al Q4 2023. La crescente popolarità di LummaC2 tra gli avversari è probabilmente dovuta al suo alto tasso di successo, che si riferisce alla sua efficacia nell’infiltrare con successo i sistemi ed esfiltrare dati sensibili senza essere rilevato,” ha osservato ReliaQuest.