Una tecnica truffaldina piuttosto in uso tra i cyber criminali consiste nell'attirare gli utenti dai social network a versioni sosia (ma false) di popolari siti web, nei quali poi una finestra popup avvisa della fantomatica "necessità di installare una particolare estensione di Chrome" per risolvere problemi di visualizzazione. Ovviamente non c'è alcuna estensione ad attendere l'utente, ma un bel malware. 
 
Questo tipo di truffe è sempre più frequente e, proprio ieri, ne è stata denunciata pubblicamente una, attualmente ancora in corso: questa campagna è attiva almeno da Marzo e pare aver infettato già 100.000 utenti in svariate parti del mondo. Il malware in diffusione è stato soprannominato Nigelthorn e si diffonde su Facebook, ad una velocità piuttosto preoccupante, tramite link ben costruiti secondo i canoni dell'ingegneria sociale: è programmato per infettare i sistemi delle vittime con estensioni browser dannose che rubano le credenziali degli account social, installano miner di criptovaluta e coinvolgono in "click fraud" ( si parla di click fraud quando una persona o un software automatizzato clicca sugli annunci sponsorizzati su un sito web con lo scopo di far spendere all’inserzionista senza un reale ritorno in termini di vendite).
 
Come viene diffuso il malware Nigelthorn?
 

Principalmente attraverso 7 diverse estensioni per il browser Chrome, tutte ospitate sul Web Store ufficiale di Chrome. I primi a individuarle sono stati i ricercatori di Radawre dopo che uno dei loro clienti (un brand mondiale del manifatturiero, non rivelato) ha subito la compromissione della rete aziendale. Stano al report di Radware gli attaccanti usando copie di estensioni legittime per Chrome, entro l quali iniettano un breve script dannoso offuscato così da poter superare "i controlli all'ingresso" di Chrome.

 
Per attirare gli utenti al download delle estensioni compromesse, gli attori dietro a Nigelthorn  diffondono link su Facebook verso siti falsi: sia per la diffusione dei link che per l'approntamento dei falsi siti web sono state usate tecniche di ingegneria sociale. Attualmente la catena di infezione è così composta:
 
  1. su Facebook vengono inviati link a falsi video;
  2. il clic sul link porta ad una pagina YouTube fake che mostra immediatamente il pop up con la richiesta di scaricare una estensione (quella dannosa ovviamente) per poter vedere il video;
  3. scaricata e installata, l'estensione eseguirà codice JavaScript dannoso rendendo nodo di una botnet il computer della vittima . 

 


Che cosa fa?
Il nuovo malware si concentra principalmente sul sottrarre le credenziali di Facebook e Instagram e raccogliere ulteriori dati dagli account compromessi. Queste informazioni vengono usate al fine di diffondere la stessa estensione ai profili amici, usando quelli compromessi come ulteriori basi di invio e diffusione della truffa: basta un solo amico che esegua il download dell'estensione compromessa e il processo ricomincia da capo. 
 

Oltre a ciò NigelThorn scarica un tool per il mining di criptovaluta browser-based, disponibile pubblicamente come plugin per attivare l'estrazione sui sistemi infetti di cirptovalute quali Monero, Bytecoin o Electroneum.

In ultimo, NigelThorn si rende automaticamente persistente sul sistema per impedire agli utenti di rimuovere le estensioni dannose: anzi, addirittura, le chiude automaticamente per impedirne la rimozione ogni volta che l'utente apre la scheda delle estensioni. Per mettersi ulteriormente al sicuro il malware mette in blacklist una serie di tool di pulizia offerti da Facebook e Google e impedisce agli utenti di eliminare o fare post, apportare modifiche e fare commenti. 

 
Ecco la lista delle sette estensioni dannose "masherate" da estensioni legittime: 
 
  • Nigelify
  • PwnerLike
  • Alt-j
  • Fix-case
  • Divinity 2 Original Sin: Wiki Skill Popup
  • Keeprivate
  • iHabno

 

Che fare?
Se ne avete anche una sola installata, rimuovetela immediatamente e cambiate la password di Facebook, Instagram e in tutti gli altri account social con la stessa password.