Il popolare pacchetto JavaScript UAParser.js infettato da malware

Tratto da Blog Kaspersky

Autore: Nikolay Pankov- 28/10/2021

Il pacchetto Npm UAParser.js, installato su decine di milioni di computer in tutto il mondo, è stato infettato con password stealer e miner

Degli attaccanti sconosciuti hanno compromesso diverse versioni di una popolare libreria JavaScript, UAParser.js, inserendo un codice dannoso. Secondo le statistiche sulla pagina degli sviluppatori, molti progetti fanno uso di questa libreria, che viene scaricata da 6 a 8 milioni di volte ogni settimana.

I criminali informatici hanno compromesso tre versioni della libreria: la 0.7.29, 0.8.0 e 1.0.0. Tutti gli utenti e gli amministratori dovrebbero aggiornare le librerie alle versioni 0.7.30, 0.8.1 e 1.0.1, rispettivamente, il prima possibile.

Che cos’è UAParser.js, e perché è così famoso

Gli sviluppatori JavaScript usano la libreria UAParser.js per analizzare i dati User-Agent inviati dai browser. È implementata su molti siti web e utilizzata nel processo di sviluppo del software di varie aziende, tra cui Facebook, Apple, Amazon, Microsoft, Slack, IBM, HPE, Dell, Oracle, Mozilla e altri. Inoltre, alcuni sviluppatori di software utilizzano strumenti di terze parti, come il framework Karma per il software testing, che dipende anch’esso da questa libreria, aumentando ulteriormente la scala dell’attacco, aggiungendo un ulteriore anello alla supply chain.

Introduzione ai codici dannosi

I criminali informatici hanno incorporato script dannosi nella libreria per scaricare il codice dannoso ed eseguirlo sui computer delle vittime, sia in Linux che in Windows. Lo scopo di un modulo era quello di estrarre criptovalute, il secondo, invece (solo per Windows), era in grado di rubare informazioni riservate come i cookie dai browser, password e credenziali del sistema operativo.

Tuttavia, potrebbe non essere finita qui: secondo gli avvisi della US Cybersecurity and Infrastructure Protection Agency (CISA), l’installazione di librerie compromesse potrebbe permettere ai criminali informatici di prendere il controllo dei sistemi infetti.

Secondo gli utenti di GitHub, il malware crea file binari: jsextension (in Linux) e jsextension.exe (in Windows). La presenza di questi file è un chiaro indicatore di compromissione del sistema.

Come è riuscito a entrare il codice dannoso nella libreria UAParser.js

Faisal Salman, lo sviluppatore del progetto UAParser.js, ha dichiarato che un cybercriminale non identificato ha avuto accesso al suo account nel repository npm e ha pubblicato tre versioni dannose della libreria UAParser.js. Lo sviluppatore ha immediatamente aggiunto un avvertimento ai pacchetti compromessi e ha contattato il supporto di npm, che ha rapidamente rimosso le versioni pericolose. Tuttavia, mentre i pacchetti erano online, un numero significativo di dispositivi potrebbe averli scaricati.

A quanto pare, sono stati online per poco più di quattro ore, dalle 14:15 alle 18:23 CET del 22 ottobre. In serata, lo sviluppatore ha notato un’insolita attività di spam nella sua casella di posta elettronica, il che gli ha fatto notare le attività sospette, e ha così potuto scoprire la causa principale del problema.

Cosa fare se avete scaricato librerie infette

Il primo passo è controllare i computer, tutti i componenti del malware usato nell’attacco sono rilevati con successo dai nostri prodotti.

Successivamente, vi consigliamo di aggiornare le vostre librerie alle versioni corrette, la 0.7.30, 0.8.1 e 1.0.1. Tuttavia, potrebbe non essere sufficiente: secondo l’avviso, qualsiasi computer su cui è stata installata o eseguita una versione infetta della libreria dovrebbe essere considerato completamente compromesso. Pertanto, gli utenti e gli amministratori dovrebbero cambiare tutte le credenziali che sono state utilizzate su quei computer.

In generale, gli ambienti di sviluppo o di compilazione sono obiettivi convenienti per i criminali informatici che cercano di organizzare attacchi alla supply chain. Ciò significa che tali ambienti richiedono urgentemente una protezione antimalware.

Phishing attraverso Google Apps Script

Tratto da Blog Kaspersky

Autore: Roman Dedenok – 28/07/2021

Alcuni truffatori si servono di Google Apps Script per il reindirizzamento, evitando che i server di posta blocchino i link di phishing

Per rubare le credenziali delle e-mail aziendali dei dipendenti, i criminali informatici devono prima superare le soluzioni anti-phishing presenti sui server di posta elettronica aziendali. Di regola, si avvalgono di servizi web legittimi in modo da evitare di farsi notare; e, sempre più spesso, si servono di Google Apps Script, una piattaforma di scripting basata su JavaScript.

Cos’è Apps Script e come viene sfruttata dai cybercriminali?

Apps Script è una piattaforma basata su JavaScript per automatizzare le attività all’interno dei prodotti Google (ad esempio, per la creazione di componenti aggiuntivi per Google Docs), così come in applicazioni di terze parti. Essenzialmente, si tratta di un servizio per creare script ed eseguirli all’interno dell’infrastruttura di Google.

Nel phishing via e-mail, i cybercriminali utilizzano questo servizio per i reindirizzamenti. Invece di inserire l’URL di un sito web dannoso direttamente in un messaggio, i criminali informatici possono inserire un link a uno script. In questo modo, possono bypassare le soluzioni anti-phishing a livello di server di posta: un collegamento ipertestuale a un sito legittimo di Google con una buona reputazione supera la maggior parte dei filtri. Come vantaggio secondario per i criminali informatici, i siti di phishing non rilevati possono rimanere attivi più a lungo. Questo stratagemma conferisce ai cybercriminali la flessibilità di cambiare lo script se necessario (nel caso in cui le soluzioni di sicurezza rilevino il trucco) e di sperimentare con la consegna dei contenuti (ad esempio, reindirizzando le vittime su diverse versioni del sito a seconda della regione di appartenenza).

Esempio di una truffa tramite Google Apps Script

Tutto quello che i cybercriminali devono fare è convincere l’utente a cliccare su un link. Di recente, il pretesto più comune riguardava la “casella di posta piena”. In teoria, sembra plausibile.

Una tipica e-mail di phishing riguardante una fantomatica casella di posta piena.

I cybercriminali di solito lasciano segni per smascherare la truffa e che dovrebbero essere evidenti anche agli utenti che non hanno familiarità con le notifiche reali:

L’e-mail proviene apparentemente da Microsoft Outlook, ma l’indirizzo e-mail del mittente ha un dominio diverso. Una vera notifica su una casella di posta piena dovrebbe provenire dal server Exchange interno (extra: nel nome del mittente, Microsoft Outlook, manca uno spazio e viene utilizzato uno zero al posto della lettera O);
Il link, che appare quando il cursore passa sopra “Fix this in storage settings”, porta a un sito Google Apps Script:

Collegamento e-mail a Google Apps Script

Le caselle di posta non superano improvvisamente i loro limiti. Outlook inizia ad avvertire gli utenti che lo spazio si sta esaurendo molto prima di raggiungere il limite. Superarlo improvvisamente di 850 MB significherebbe probabilmente ricevere tanto spam tutto in una volta, il che è estremamente improbabile.

In ogni caso, ecco un esempio di notifica legittima di Outlook:

Notifica legittima di una casella di posta quasi piena.

Il link “Fix this in storage settings” reindirizza su un sito di phishing. Anche se in questo caso si tratta di una copia abbastanza convincente della pagina di accesso dall’interfaccia web di Outlook, uno sguardo alla barra degli indirizzi del browser rivela che la pagina è ospitata su un sito web contraffatto, non sull’infrastruttura della compagnia.

Come evitare di abboccare all’amo del phishing

L’esperienza dimostra che le e-mail di phishing non devono necessariamente contenere link di phishing. Pertanto, una protezione aziendale affidabile deve includere capacità anti-phishing sia a livello di server di posta, sia sui computer degli utenti.

Inoltre, alla soluzione di sicurezza va affiancata anche una formazione continua di dei dipendenti riguardo le attuali minacce informatiche e le truffe di phishing.

LibraESVA QuickSand Sandbox

Documenti di office e file PDF possono contenere dei contenuti attivi, ad esempio i file PDF possono contenere ed eseguire comandi JavaScript oppure documenti di Office che contengono script di PowerShell.

Una delle novità più interessanti dell’ultimo rilascio di LibraESVA è la QuickSand Sandbox.

QuickSand Sandbox è in grado di individuare e rimuovere contenuti “Attivi” da file di Office e PDF. La sandbox viene eseguita direttamente sulla appliance ESVA, senza necessità di inviare il file da analizzare sul cloud ed è veramente rapida.

I contenuti “Attivi” vengono classificati come “Sicuro”, “Sospetto”, “Indeterminato”, “Crittografato” e per ciascuna categoria è possibile selezionare diversi comportamenti (consegna, pulisci e consegna, blocca).

Prendiamo in esame un file PDF (il manuale di libraESVA), ed andiamo a testare la nuova funzionalità aggiungiamo un comando JavaScript:
app.launchURL(“https://www.libraesva.com”, true);
che ci permette di far aprire una pagina web all’apertura del file PDF.

Inviando il file in allegato al messaggio, LibraESVA individua il contenuto attivo ed esegue l’azione associata, rimuovendo il contenuto attivo o bloccando il file.

Questa nuova funzionalità è molto importante, in particolare durante le campagne di diffusione di ransomware abbiamo visto messaggi di posta contenere allegati pericolosi con componenti attive, ma non il malware vero e proprio, che veniva richiamato dai contenuti attivi presenti negli allegati.

Argonavis ed i suoi esperti in sicurezza informatica sono a tua disposizione per darti supporto ed aiutarti a proteggere la tua azienda dai rischi informatici.

Richiedi Informazioni