I laboratori ESET hanno recentemente segnalato un notevole aumento di rilevazioni della minaccia JS/Chromex.Submelius. In paesi come la Colombia, Perù, Ecuador e Cile, i livelli di intercettazione di questo particolare malware hanno rappresentato fino al 30% o il 40% del totale delle minacce rilevate nell’intero paese, mentre in Europa sta interessando in particolare Spagna e Italia, minacciando fino al 45% degli internauti.

Si tratta di un Trojan che dirotta il browser dell’utente verso un indirizzo (URL) specifico, che presenta dei contenuti pericolosi. Visti gli alti tassi di rilevazione di questa minaccia che interessa soprattutto Chrome, il diffuso software di navigazione di Google, abbiamo deciso di scoprire come questo malware sia in grado di diffondersi e come gli utenti potrebbero cadere nella sua trappola.

Puoi vedere ciò che desideri… ma nel frattempo ti infetti con JS/Chromex.Submelius

Abbiamo analizzato un esempio di come questa minaccia si propaghi accedendo a un sito web pirata per la visione di film online. In una delle opzioni per guardare i contenuti della pagina, quando l’utente avvia la riproduzione di un filmato viene aperta automaticamente una nuova finestra del browser:

Chiunque abbia dimestichezza con questo tipo di siti non troverà la cosa particolarmente strana, infatti spesso nel tentativo di accedere ai contenuti in streaming l’utente deve fare fronte a fastidiose finestre popup che cercano di ingannarlo presentando messaggi come “un virus è stato rilevato” o “guadagnare soldi lavorando da casa”. In questo caso però il browser non dirotta ad un’altra pagina con un annuncio pubblicitario ma a un sito web che chiede a sua volta di passare a un’altra pagina Web, finché l’utente non clicca su “Accetta“.

Una volta convinta la vittima a cliccare sul link giusto il programma di navigazione verrà infine indirizzato verso il download di un’estensione dallo store di Google Chrome. In questa schermata viene mostrato ciò che appare nella barra degli indirizzi del browser prima di installare l’estensione:

Quando l’utente accetta il download comparirà un nuovo spazio a fianco della barra degli indirizzi con l’icona dell’estensione, che se cliccata indirizzerà il browser verso un nuova pagina all’interno del negozio web di Chrome contenente un’ulteriore estensione. Come ben visibile nella seguente immagine alcuni commenti degli utenti rivelano come quest’applicazione sia assolutamente inutile:

A questo punto, se l’utente ha iniziato a riprodurre il video, il suo programma di navigazione risulterà ormai infettato. Verificando le estensioni installate nel browser si noterà quella appena scaricata e, particolare molto importante, i suoi permessi gli consentiranno di leggere e modificare tutti i dati delle pagine Web visitate dall’utente. Per compiere tale operazione il malware mantiene aperta una finestra del browser così da poter iniettare il proprio codice quando l’utente visita un sito Internet:

Infine, dopo aver installato questa estensione ed essere caduto nella trappola del malware, l’utente avrà compromesso la sicurezza del proprio browser perché da quel momento, durante la navigazione su Internet, vedrà improvvisamente nuove finestre con informazioni sui propri sistemi e sarà indirizzato ad altri siti web che contengono codici dannosi, pubblicità o altri tipi di contenuti malevoli.

Cosa si può fare se avete scaricato l’estensione JS/Chromex.Submelius?

Se l’utente è stato colpito da Submelius e ha installato una delle estensioni dannose di Chrome sul browser, dovrà rimuoverlo il più presto possibile digitando “chrome: // extensions” nella barra del browser ed eliminando le estensioni sospette. E’ inoltre necessario analizzare il computer o il dispositivo infetto utilizzando una soluzione di sicurezza affidabile, per escludere la possibilità che sia stata installata qualsiasi altro tipo di minaccia.

Come sempre, è molto importante fare attenzione prima di cliccare su un qualsiasi contenuto presente sui siti web visitati, soprattutto se richiedono di scaricare estensioni. Abbiamo già visto altre campagne di questo tipo su YouTube, Facebook e su altri siti web e portali simili, quindi possiamo dedurre che non sia affatto un caso isolato ma che in realtà esista una vera e propria struttura di reindirizzamento.