Il nuovo malware Google Chrome con payload subdolo ruba le credenziali dell'utente

Le società di sicurezza informatica eseguono continuamente la scansione del ambiente online per trovare nuove minacce malware che potrebbero mettere a rischio la privacy degli utenti e comprendere i vettori di distribuzione tipici attraverso i quali tali attacchi vengono condotti. Di recente, i ricercatori hanno scoperto un nuovo malware che assomiglia fortemente ad altre credenziali già note che rubano minacce. Tuttavia, esempio analizzato sembra unico non solo per il fatto che si rivolge specificamente al browser Google Chrome, a differenza di altre minacce note che puntano a tutti i browser Internet più diffusi, ma anche per la tecnologia che utilizza. Questa nuova minaccia non è offuscata e teoricamente dovrebbe essere bloccata da soluzioni anti-malware. Tuttavia, il software antivirus non lo rileva nemmeno nella maggior parte dei casi, il che è abbastanza sconcertante per gli analisti di malware.

infezione con questo nuovo strumento di raccolta delle credenziali si verifica con aiuto di un contagocce di base . Quel dropper crea una cartella \ temp nel percorso corrente, che ha una dimensione di circa 6 MB e che diventa la cartella principale del malware. In questa nuova cartella, il dropper crea un semplice script chiamato "death.bat" che cancella la directory / temp. Quindi, il contagocce crea altri sei file nella cartella principale costituita da cinque file DLL e un file binario chiamato "virus.exe" che sembra utilizzare cURL. I ricercatori sottolineano che non ci sono molte altre minacce malware che utilizzano cURL, il che rende la nuova minaccia davvero interessante. Inoltre, i nomi dei file del malware sono chiari e non utilizza offuscamento o crittografia. Dopo aver riempito la cartella principale, il malware esegue il file binario "virus.exe" mentre lo script batch che elimina tutte le tracce del malware viene eseguito cinque secondi dopo. Successivamente, una finestra di messaggio con un messaggio di errore generico si apre, a quanto pare, semplicemente per ingannare utente.

analisi del payload principale del malware rivela che si tratta di una vera minaccia per la privacy degli utenti. Google Chrome memorizza non solo nomi utente e password ma anche i dati della carta di credito. Un utente normale non ha bisogno dei privilegi di amministratore per accedere al file Chrome in cui il browser memorizza le credenziali, il che a sua volta significa che il malware non ha bisogno di uno strumento di elevazione dei privilegi per accedere a quel file. Le credenziali di Chrome sono archiviate in un file DB SQLite. Al fine di aggirare il meccanismo di protezione del browser, il malware uccide solo determinati processi di Chrome, quindi apre il file DB, esegue diverse query SQL e legge le informazioni contenute nel file. Successivamente, i dati vengono salvati e inviati al modulo Google del malware tramite cURL. In tal caso, app gratuita basata su Web Google Forms viene utilizzata in modo improprio dagli aggressori per la raccolta e archiviazione di dati rubati.

In base al suo flusso operativo, questa nuova minaccia non può essere identificata come membro di alcuna famiglia di malware nota che ruba le credenziali di Chrome. È molto intelligente, silenzioso e veloce, non crea alcun file sul disco, non modifica il registro e, nel complesso, non provoca alcun danno al computer infetto. altra parte, è difficile da catturare poiché utilizza cURL e Google Forms ed è, in ogni caso, una grave minaccia per la privacy degli utenti in quanto raccoglie dati sensibili come password e numeri di carta di credito.