Attenti a malware, pubblicità malevoli, estensioni per browser, e tool per le criptomonete

Nei giorni scorsi, diversi PC e gadget smart sono stati presi di mira dagli hacker grazie a una nutrita serie di malware, pubblicità malevoli, siti web compromessi, estensioni per browser, arrivando persino a rubare le monete virtuali prodotte dai PC infettati

Attenti a malware, pubblicità malevoli, estensioni per browser, e tool per le criptomonete

Ultimamente, i virus per i sistemi informatici stanno diventando sempre più pericolosi, grazie alla capacità di contagiare un numero sempre più ampio di dispositivi, usando la Rete come canale per diffondersi, i browser per penetrare nei computer che, in ultima istanza, vengono depredati di dati personali, costretti a cliccare su pubblicità non gradite, o a minare criptovaluta a beneficio altrui: le più recenti aggressioni informatiche, sotto questo punto di vista, stanno offrendo un campionario piuttosto esaustivo.

Okiru, pericolo per i processori ARC

Qualche giorno fa, alcuni ricercatori del team “Malware Must Die” hanno scovato degli esempi di codice malevolo, prontamente ribattezzato “Okiru”, che ricorda da vicino il malware che, nel 2016, infettando oltre 100 mila dispositivi IoT, e creando la botnet Mirai, attaccò i server dell’azienda DynDNS, rendendo diversi siti e servizi internet irraggiungibili in varie parti del mondo: nel caso specifico, il nuovo virus aggredisce tutti i gadget animati da processori ARC, come fotocamere, televisori smart, automobili intelligenti, connessi ad internet e controllabili da remoto. Questo, fanno sapere gli esperti, può essere pericoloso sia per la tipologia di dati trattati dai device in oggetto, che per il numero di gadget coinvolti, circa 1.5 miliardi: le prime analisi condotte su sample di Okiru, rinvenuti in diversi paesi e da varie fonti, lasciano supporre – secondo la società di security intelligence Exabeam – che si stesse preparando un qualche attacco a un particolare ambiente Linux.

Malverstising per 18 mila siti compromessi

Non meno inquietante è stata la  campagna di malvertising (pubblicità malevola) scoperta dallo Zlab, laboratorio anti malware, della security house italiana “CSE Cybsec”: nel corso di tale attacco hacker, ribattezzato “Operation EvilTraffic”, iniziato ad Ottobre 2017 con un clou tra Dicembre e Gennaio (35 mila siti compromessi), grazie ad una vulnerabilità della piattaforma di CMS “Wordpress”, diversi siti (poi ridottisi a 18 mila in seguito all’installazione dei fix) dirotterebbero gli internauti verso pagine pubblicitarie che, o tramite l’installazione di software ad hoc, o tramite meccanismi di phishing, otterrebbero dati personali e, in particolare, di tipo bancario. La portata di tale attacco, spiegano presso CSE Cybsec, dipende dal numero di utenti che visita un sito compromesso: più è alto tale numero, maggiori sono i guadagli per gli hacker (ad esempio, nel caso di itcpm.com, che annovera 1.183.500 visitatori univoci al giorno, gli hacker guadagnano quotidianamente 4.284.28 dollari).

Ancora estensioni malevole per Chrome, e Firefox

Anche le estensioni per i browser, spesso, sono fonti di attacchi informatici piuttosto seri. In tal senso, nei giorni scorsi sono state individuate dalla security house “Malwarebytes” alcune estensioni per Chrome e Firefox che, una volta installatesi, evitano di farsi rimuovere, sostituendo la sezione per la gestione degli add-on con una praticamente uguale in cui non sono visualizzate le opzioni di rimozione dei medesimi.

Il contatto con tali estensioni malevole avverrebbe a causa di alcune pagine compromesse che inviterebbero, con insistenza, ad aggiornare “manualmente” i browser attraverso la riproposizione, in loop, di pop-up finalizzati ad accettare l’installazione in questione. Una volta riuscite nell’intento, tali estensioni monitorerebbero la navigazione dell’utente, reindirizzandola verso pagine e video YouTube, in modo da incrementare il traffico a favore dei criminali 2.0.

Qualora si noti di essere incappato in un problema simile, in Firefox bisogna avviare il browser in modalità provvisoria (tasto Windows + R, e digitare “C:Program FilesMozilla Firefoxfirefox.exe -safe-mode”) per poi rimuovere normalmente l’estensione, mentre in Chrome – chiusa ogni istanza del browser dal Task Manager ed aperto l’Esplora Risorse – basta portarsi nella destinazione “UsersNOMEUTENTEAppDataLocalGoogleChromeUser DataDefaultExtensions” e, scovata l’estensione incriminata esaminando i file “manifest.json” nelle sotto-cartelle presenti (o rinominato il file javascript “1499654451774.js”) , è sufficiente trasferire in una posizione temporanea la cartella dell’estensione incriminata (o il file citato), concludendo il tutto con una cancellazione. In alternativa, si può usare l’antispyware “Malwarebytes” e procedere con una scansione del sistema.

Virus per il furto di criptomonete Ethereum

Infine, il furto di criptomonete. Di solito, i recenti malware mirano a trasformare i computer in minatori di criptomonete per conto terzi, ma la variante del virus “Satori”, scovata dai cinesi di “Netlab 360”, è differente e, dopo aver compromesso il software per la generazione di Ethereum (1400 dollari ad unità, al cambio) “Claymore Mining”, attraverso la porta 3333 (lasciata scoperta nelle impostazioni di default), indirizza le monete virtuali generate verso il portafoglio (wallet) dei criminali. Insomma, il computer faticherà per altri e, quando lo si avrà scoperto, si sarà consumata corrente elettrica per nulla. In questo frangente, si è calcolato che i sistemi coinvolti possano oscillare tra l’ordine delle decine e delle centinaia di unità

Continua a leggere su Fidelity News