Individuata una campagna malevola in cui vengono distribuiti il trojan BitRAT e il malware Lumma Stealer (o LummaC2) mascherati da finti aggiornamenti per il browser. Vediamo nell’articolo i dettagli della campagna e come fare per difendersi.
BitRAT e Lumma Stealer: una breve presentazione
BitRAT e Lumma Stealer sono già noti nel panorama delle minacce informatiche. In particolare il malware Lumma Stealer, che è sempre più popolare, probabilmente a causa della sua alta percentuale di riuscita nell’esfiltrazione di dati sensibili (senza essere rilevato).
BitRAT è un trojan, nello specifico un RAT, che consente agli attori delle minacce di raccogliere dati, minare criptovalute, scaricare binari e comandare a distanza gli host infetti.
Il malware Lumma Steler, invece, attivo da agosto 2022, è specializzato nel furto di informazioni. È in grado infatti di rubare informazioni dal web, dai portafogli di criptovalute ecc.
Finti aggiornamenti per diffondere BitRAT e Lumma Stealer: come avviene l’infezione
Prima di BitRAT e Lumma Stealer, sono state diverse le campagne malevole che hanno causato infezioni malware, trojan e ransomware sfruttando i finti aggiornamenti del browser. Tra queste, ad esempio, quella che ha diffuso Magniber, di cui abbiamo già parlato.
In questa nuova campagna malevola, la catena di attacco inizia quando viene visitato un sito web compromesso, che contiene codice JavaScript. Questo è progettato per reindirizzare le vittime a una pagina di aggiornamento del browser fasulla.
La pagina in questione contiene un link di download a un file ZIP che viene scaricato in maniera automatica sul dispositivo della vittima. Nel file archivio ZIP, ovviamente, non è presente nessun aggiornamento del browser, bensì un ulteriore file JavaScript. Questo file avvia l’esecuzione di script PowerShell che scaricano payload da un server remoto, mascherati da file immagine PNG.
Oltre a ciò, gli script PowerShell scaricano anche un loader basato su .NET e altri codici dannosi (indispensabili per stabilire la persistenza sui sistemi della vittima).
Discord: la piattaforma usata come vettore di attacco
Discord, la popolare piattaforma di VoIP e messaggistica istantanea, è sempre più utilizzata come vettore d’attacco tra i criminali informatici.
Nello specifico, le indagini condotte dagli esperti nel periodo che va dal 1° settembre 2023 al 1° marzo 2024, hanno rilevato più di 35 milioni di URL sulla piattaforma. Nei mesi in esame sono stati rilevati più di 50.000 link dannosi usati per distribuire phishing, malware, spam ecc. Questi hanno preso di mira soprattutto Stati Uniti e Europa.
Come difendersi?
Discord, essendo al corrente del problema, è già intervenuto per rendere la piattaforma più sicura, modificando le condizioni d’uso. Tra queste, ad esempio, troviamo la scadenza dopo 24 ore dei file ospitati. Nonostante questi accorgimenti però, gli aggressori continuano ad essere attivi sulla piattaforma: rubano credenziali, usano metodi come promettere regali ed effettuare ricatti diretti.
Per mitigare il rischio, consigliamo di adottare la massima cautela nel cliccare su qualsiasi link. Rimane poi sempre attuale il consiglio di investire nella formazione dei dipendenti, dato che il fattore umano è uno dei più altri fattori di rischio. Infine, è fondamentale adottare valide e avanzate soluzioni di sicurezza in grado di rilevare e bloccare le minacce, ma anche di prevenirle in maniera proattiva, come Seqrite.
Hai bisogno di una soluzione di sicurezza avanzata ed efficace?