SOC Prime Bias: Medio

16 Dec 2025 16:55 UTC

Dirottamento del Browser: Analisi di Tre Tecniche

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Segui
Dirottamento del Browser: Analisi di Tre Tecniche
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Sommario

L’articolo esplora tre diverse tecniche utilizzate dagli hijacker di browser per manipolare i browser degli utenti su Windows. Copre il manomissione diretto dei file di preferenze del browser, l’emulazione programmata dei tasti che guida in remoto l’interfaccia utente del browser, e l’abuso degli switch da riga di comando di Chromium per caricare estensioni malevole. Ogni metodo è accompagnato da artefatti rappresentativi ed esempi di codice. L’obiettivo principale di questi hijack è l’iniezione di pubblicità e la reindirizzazione non autorizzata, piuttosto che il furto di credenziali o l’esfiltrazione diretta di dati.

Investigazione

Il ricercatore ha esaminato il malware associato alle campagne TamperedChef/BaoLoader e ha identificato un modulo nativo, UtilityAddon.node, utilizzato per raccogliere identificatori di sistema e alterare i file di preferenze di Firefox e Chrome. Un secondo campione ha mostrato uno strumento di accesso remoto al browser (BRAT) che finge scorciatoie da tastiera per cambiare la barra degli indirizzi, aprire nuove schede e generare clic su annunci fraudolenti. Il terzo scenario coinvolgeva un hijacker basato su VBS/PowerShell che imposta attività pianificate, monitora la creazione di processi tramite WMI, disabilita gli aggiornamenti di Chrome e forza il caricamento di un’estensione rogue attraverso uno switch della riga di comando di Chromium ormai deprecato.

Mitigazione

I difensori dovrebbero rimuovere o mettere in quarantena i componenti hijacker come UtilityAddon.node, voci .reg malevoli e script PowerShell sospetti. Disabilitare o eliminare attività pianificate che invocano script sconosciuti o non attendibili. Ripristinare i file di preferenze del browser da backup affidabili e applicare permessi di file rigorosi. Monitorare o bloccare i tentativi di utilizzare lo switch –load-extension legacy di Chromium e verificare che i meccanismi di aggiornamento automatico di Chrome rimangano abilitati.

Risposta

Al rilevamento, cercare gli artefatti descritti e monitorare le modifiche ai file di preferenze del browser, ai valori del registro che interferiscono con gli aggiornamenti e ai parametri atipici della riga di comando del browser. Isolare le macchine impattate, catturare prove volatili ed effettuare una revisione approfondita delle estensioni installate e attivamente caricate. Utilizzare script di rimedio automatico per ripristinare le impostazioni del browser ai valori predefiniti di sicurezza e riabilitare i servizi di aggiornamento. Infine, monitorare eventuali indicatori di rete correlati che potrebbero segnalare attività di comando e controllo.

Flusso dell’attacco

Esecuzione della Simulazione

Prerequisito: Il Controllo del Telemetria & Baseline Pre-volo deve essere superato.

  • Narrativa & Comandi dell’Attacco:
    L’avversario ha precedentemente rilasciato uno script PowerShell malevolo chiamato configuration.ps1 in %LOCALAPPDATA%DiagnosticNET. Lo script monitora continuamente i processi del browser (Chrome, Edge, Firefox) e li termina, costringendo il browser dell’utente a riavviarsi e caricare un’estensione malevola che l’attaccante ha precedentemente posizionato nel profilo dell’utente. Per attivare il rilevamento, l’attaccante avvia lo script tramite una chiamata PowerShell diretta:

    1. Creare la cartella nascosta e posizionare lo script malevolo.
    2. Eseguire lo script con powershell.exe utilizzando una riga di comando in chiaro che corrisponde alla condizione della regola.
    3. Lo script registra la sua attività nella console (per fini dimostrativi) e termina i browser di destinazione.
  • Script di Test di Regressione:

    # ---------------------------------------------------------
    # Script di regressione – riproduce l'attività che attiva il rilevamento
    # ---------------------------------------------------------
    
    # 1. Preparare la directory nascosta
    $targetDir = "$env:LOCALAPPDATADiagnosticNET"
    if (-not (Test-Path $targetDir)) {
        New-Item -Path $targetDir -ItemType Directory -Force | Out-Null
        # Nascondere la directory
        (Get-Item $targetDir).Attributes = 'Hidden','Directory'
    }
    
    # 2. Posizionare lo script malevolo configuration.ps1
    $scriptPath = Join-Path $targetDir "configuration.ps1"
    @'
    # Script di configurazione malevolo – termina i browser
    $browsers = @("chrome", "msedge", "firefox")
    foreach ($proc in $browsers) {
        Get-Process -Name $proc -ErrorAction SilentlyContinue | Stop-Process -Force -ErrorAction SilentlyContinue
    }
    Write-Output "Processi del browser terminati."
    '@ | Set-Content -Path $scriptPath -Encoding UTF8
    
    # 3. Eseguire lo script tramite PowerShell – questo dovrebbe attivare la regola Sigma
    $cmd = "$env:WINDIRSystem32WindowsPowerShellv1.0powershell.exe -ExecutionPolicy Bypass -File `"$scriptPath`""
    Write-Host "Esecuzione dello script malevolo:" $cmd
    & $env:WINDIRSystem32WindowsPowerShellv1.0powershell.exe -ExecutionPolicy Bypass -File $scriptPath
  • Comandi di Pulizia:

    # ---------------------------------------------------------
    # Pulizia – rimuove gli artefatti creati dal test di regressione
    # ---------------------------------------------------------
    
    # Fermare eventuali processi del browser vaganti che potrebbero essere stati terminati
    # (Nessuna azione necessaria – i browser possono essere riavviati manualmente)
    
    # Rimuovere lo script malevolo e la cartella nascosta
    $targetDir = "$env:LOCALAPPDATADiagnosticNET"
    if (Test-Path $targetDir) {
        Remove-Item -Path $targetDir -Recurse -Force
    }
    
    # Facoltativamente, cancellare la cronologia della riga di comando di PowerShell
    Clear-History