È stata identificata una campagna malevola con cui i criminali informatici stanno distribuendo il trojan di accesso remoto BitRAT e il malware per il furto di informazioni Lumma Stealer (noto anche come LummaC2) nascosti all’interno di finti aggiornamenti per il browser. Ecco tutti i dettagli e come difendersi.
Gli attori delle minacce stanno distribuendo il trojan di accesso remoto BitRAT e il malware per il furto di informazioni Lumma Stealer (noto anche come LummaC2) nascosti all’interno di finti aggiornamenti per il browser.
Una tecnica malevola non nuova, come riportano i ricercatori della società di sicurezza informatica eSentire: i falsi aggiornamenti del browser, infatti, sono già stati responsabili in passato di numerose infezioni da malware, tra cui il noto SocGholish. Più recentemente, ad aprile 2024, è stata osservata una campagna d’attacco con cui veniva distribuito il malware FakeBat tramite medesimi meccanismi di aggiornamento fasulli.
Malware e trojan nascosti in finti aggiornamenti del browser
BitRAT e Lumma Stealer non sono nuovi nel panorama delle cyber minacce.
Il primo è un RAT ricco di funzionalità che consente agli attaccanti di raccogliere dati, minare criptovalute, scaricare ulteriori binari e comandare a distanza gli host infetti.
Lumma Stealer, invece, è un malware specializzato nel furto di informazioni che offre la capacità di catturare informazioni da browser web, portafogli di criptovalute e altri dettagli sensibili ed è attivo già dal mese di agosto 2022, venduto sul mercato nero del cyber crimine a un costo mensile compreso tra i 250 e i 1.000 dollari.
In questa nuova campagna malevola, la catena di attacco inizia quando le potenziali vittime visitano un sito web compromesso contenente codice JavaScript progettato per reindirizzarle su una finta pagina di aggiornamento del browser (“chatgpt-app[.]cloud”).
La pagina reindirizzata include un link di download a un file archivio ZIP (“Update.zip”) ospitato su Discord e scaricato automaticamente sul dispositivo della vittima.
All’interno dell’archivio ZIP non è presente, ovviamente, alcun aggiornamento del browser ma un altro file JavaScript (“Update.js”) che avvia l’esecuzione di script PowerShell per recuperare payload aggiuntivi, tra cui BitRAT e Lumma Stealer, da un server remoto sotto forma di file immagine PNG.
Come se non bastasse, questi script PowerShell scaricano ulteriori codici malevoli necessari per stabilire la persistenza sui sistemi delle vittime e un altro loader basato su .NET che, sempre secondo i ricercatori di eSentire, viene utilizzato principalmente per lanciare il malware nella sua fase finale.
È importante segnalare che il malware Lumma Stealer è sempre più popolare tra gli attori delle minacce: un successo dovuto, probabilmente, alla sua alta percentuale di successo, riferita alla sua efficacia nell’infiltrare i sistemi target ed esfiltrare dati sensibili senza essere rilevato.
La piattaforma Discord utilizzata come vettore di attacco
La scoperta della campagna malevola di distribuzione del trojan BitRAT e del malware Lumma Stealer conferma anche i risultati di una ricerca condotta da Bitdefender secondo cui tra i criminal hacker si sta sempre più diffondendo l’utilizzo di Discord, la nota piattaforma di VoIP e messaggistica istantanea, come vettore d’attacco.
In particolare, i ricercatori di Bitdefender hanno analizzato oltre 35 milioni di URL sulla piattaforma Discord tra il primo settembre 2023 e il primo marzo 2024. In questi sei mesi sono stati scoperti oltre 50.000 link pericolosi utilizzati per la distribuzione di malware, phishing, spam e altro che hanno preso di mira, soprattutto, Stati Uniti (16,28%), Francia (8,14%), Romania (6,58%), Regno Unito (6,36%) e Germania (6,25%).
Soluzioni di mitigazione del rischio
Sebbene Discord abbia recentemente apportato modifiche alle sue condizioni d’uso proprio per rendere la piattaforma più sicura per gli utenti (tra cui il limite di 24 ore per la scadenza dei file ospitati internamente), i criminali informatici sono ancora estremamente attivi nell’utilizzare la piattaforma per le truffe al fine di rubare le credenziali utilizzando tattiche come falsi concorsi/regali o ricatti diretti.
Il consiglio, quindi, è quello di essere sempre vigili e applicare le migliori pratiche di sicurezza informatica: innanzitutto, è importante adottare sempre la massima cautela nel cliccare su qualsiasi link (anche se proveniente da fonti conosciute).
Sempre utile, poi, installare e tenere costantemente aggiornate sui propri sistemi valide soluzioni di sicurezza in grado di identificare e bloccare eventuali minacce.
Infine, soprattutto per le aziende, rimane sempre valido il consiglio di investire nella formazione in cyber security di tutti i dipendenti: ricordiamo sempre, infatti, che il fattore umano rimane l’anello debole della catena di sicurezza.