Un nuovo rapporto di sicurezza indica che la recente scoperta DroidClub Botnet infetta obiettivi tramite di malware estensioni di Google Chrome. Secondo l'analisi il virus è già riuscito ad infettare più di mezzo milione di utenti in tutto il mondo attraverso più istanze che sono attivi sul repository plugin ufficiale ospitato da Google. Le infezioni portano a conseguenze devastanti, Continua a leggere per saperne di più circa la natura della minaccia e come è possibile proteggersi da attacchi in arrivo.
Gli attacchi botnet Droidclub diffondersi attraverso Google Chrome Extensions malware
Un altro giorno e un altro attacco di malware è stato riportato. Abbiamo appena ricevuto notizia di una nuova minaccia a livello mondiale chiamato Droidclub botnet che sta rapidamente distribuito agli obiettivi in tutto il mondo. Le campagne su larga scala sono riusciti a infettare circa mezzo milione di utenti di computer in un breve periodo che lo rende tra le infezioni più letali nelle ultime settimane. Al momento il metodo principale si basa sulla distribuzione di malware plugin per Google Chrome. Questa è una tattica che è ampiamente utilizzato per i siti di reindirizzamento più semplici in cui il codice può essere reso compatibile per altre applicazioni come pure: Mozilla Firefox, Safari, Opera, Internet Explorer e Microsoft Edge per esempio. I criminali dietro l'attacco usano le identità degli sviluppatori contraffatti e falsi commenti al fine di aumentare la popolarità delle voci.
Il rapporto di sicurezza rivela che al momento ci sono un totale di 89 voci separate trovato sul Web Store ufficiale Chrome. Google è attivamente rimuoverli in quanto sono segnalati invece le varianti più recenti possono essere facilmente creati dal gruppo criminale. I server di comando e controllo noti sono inoltre in fase di negato l'accesso da parte del Content Delivery Network Cloudflare.
Diverse tecniche possono essere utilizzate per reindirizzare gli utenti alle estensioni del browser. I criminali possono scegliere di inviare messaggi e-mail di spam che utilizzano ingegneria sociale tattica:
- Collegamenti ipertestuali - Gli hacker possono inserire link nei messaggi che costringono le vittime a installare i plugin di malware.
- file allegati - I file di installazione del plugin di malware possono essere direttamente incorporati come file allegati.
- Script documento contraffatti - I criminali possono scegliere di inviare i documenti di malware di vario tipo (documenti di testo ricco, fogli di calcolo e presentazioni) che contengono gli script di malware. Una volta che sono aperti dalle obiettivi previsti una richiesta di notifica appare che chiede le vittime per consentire ai comandi incorporati. Se questo è fatto il malware viene installato automaticamente.
- Malware Software Installatori - Questo tipo di infezioni si affidano a installatori software che vengono modificati per includere il codice botnet Droidclub.
Uno dei principali plugin del browser che sono stati trovati a far parte del sistema di distribuzione è l'estensione Croissant French Toast - clicca qui per imparare come rimuoverlo.
Story correlati: The Hide ‘n Seek IoT botnet utilizza il P2P ai dispositivi di destinazione
Droidclub Botnet Infezione Comportamento
Una volta che la botnet Droidclub è installato nel browser Google Chrome inizia a comunicare con il comando e controllo predefinito (C&C) server per ricevere le ultime impostazioni di configurazione di malware. Si procede poi iniettando script speciali nelle pagine visitate. Può essere utilizzato per istituire varie tecnologie di sorveglianza per raccogliere dati dai vittime. Ci sono due tipi principali di dati che possono essere dirottato dagli hacker:
- anonimo Metrics - Questo tipo di informazioni è composto principalmente di dati che viene utilizzato dagli operatori per valutare quanto sia efficace la campagna è. Esempio dei dati raccolti comprende componenti hardware, versione del sistema operativo, impostazioni regionali e le impostazioni di configurazione del browser web.
- Informazioni personali - I criminali acquisiscono automaticamente una serie dettagliata di dati della vittima in grado di esporre direttamente loro. Questo include i loro nomi, Preferenze, indirizzo, numero di telefono, credenziali di account e password.
Come la botnet Droidclub inietta automaticamente il codice nelle pagine web attivi possono anche spiare tutte le interazioni con l'utente. Gli analisti della sicurezza riferiscono che le nuove schede e pop-up vengono visualizzati anche che gli annunci display e banner che generano reddito per gli operatori degli hacker. Possono essere utilizzati per reindirizzare le vittime a siti che ospitano malware e altri virus.
A pericoloso è anche istituito che genera reddito per gli operatori degli hacker. Le versioni attuali utilizzano la Coinhive Monero minatore.
Conseguenze dei Droidclub botnet Infezioni
I minatori codice reindirizzamento e criptovaluta rappresentano solo una piccola parte del possibile risultato di malware. I criminali possono utilizzare il virus per incrementare il traffico verso siti di malware o sponsor. Durante l'intrusione iniziale del file di configurazione può variare a seconda degli utenti e alcune variabili impostati come ad esempio la loro posizione. Uno dei motivi per cui viene avviato il modulo raccolta di informazioni e un profilo completo degli utenti vittima è creato è quello di ottimizzare la distribuzione dei contenuti pubblicitari. I criminali possono inoltre usufruire degli script web dirottando automaticamente i dati dei moduli in quanto viene immesso dalle vittime. Di conseguenza i criminali possono intercettare i dati della carta bancaria, se i pagamenti on-line sono fatti.
Botnet Droidclub è in grado di installare exploit kit pure. Si prova il computer per varie vulnerabilità e se si trovano può istituire altri virus. Questo include sia ransomware ceppi che cifrano le informazioni sensibili e ricattano le vittime per una tassa decrittazione, così come Trojan che permettono ai controllori per spiare le vittime in tempo reale. L'uso di tali tattiche degli hacker in grado di superare il controllo delle macchine in qualsiasi momento.
infezioni simili possono essere usati per reclutare i host compromessi in reti botnet in tutto il mondo. Essi sono utilizzati per lanciare attacchi distributed denial of service contro obiettivi di alto profilo. A seconda del caso possono essere utilizzati dagli hacker o non prestate ad altri a pagamento.
Una caratteristica interessante del codice malware è il fatto che è installato utilizzando un stato persistente di esecuzione. Se il plugin rileva che gli utenti vogliono eliminarlo vengono reindirizzati automaticamente alla pagina di presentazione del prolungamento. Questa tattica è usato per manipolare la vittima a pensare che hanno rimosso il plugin, mentre allo stesso tempo rimane attivo.
Consigliamo vivamente a tutti gli utenti Scansione dei computer per il loro sistema di infezioni attive con una qualità soluzione anti-spyware.
Spy Hunter scanner rileva solo la minaccia. Se si desidera che la minaccia da rimuovere automaticamente, è necessario acquistare la versione completa del tool anti-malware.Per saperne di più sullo strumento SpyHunter Anti-Malware / Come disinstallare SpyHunter