Se siete alla ricerca di software, film, serie TV o musica da scaricare gratuitamente su Internet, dovreste fare attenzione ai siti che visitate. Alcuni di essi potrebbero distribuire malware camuffato da programmi legittimi. Una nuova campagna malware sta utilizzando falsi siti di pirateria per infettare gli utenti con un'estensione dannosa chiamato Shampoo.
Shampoo è un adware ed è stato scoperto per la prima volta dai ricercatori di sicurezza di HP (Wolf Security). Secondo quanto scoperto, Shampoo viene distribuito tramite falsi siti di pirateria che offrono versioni craccate di software popolari ma anche su vari siti che sembrano proporre streaming e download di materiale protetto da copyright.
I falsi siti sembrano convincenti e utilizzano tecniche di social engineering per indurre gli utenti a scaricare ed eseguire il malware. Ad esempio, mostrano commenti falsi di altri utenti che affermano di aver installato con successo il software e utilizzano timer per il conto alla rovescia e codici captcha per creare un senso di urgenza e legittimità.
Invece di file multimediali o programmi di installazione legittimi, le vittime scaricano VBScript che eseguono script PowerShell impostando un'attività pianificata con prefisso "chrome_" per la persistenza. Questa attività innesca una serie di script che scaricano e salvano un nuovo script PowerShell nel registro dell'host come "HKCU:\Software\Mirage Utilities\" e recuperano anche l'estensione di Chrome dannosa, Shampoo. Shampoo è una variante di ChromeLoader, in grado di iniettare pubblicità nei siti web visitati dalla vittima e di effettuare reindirizzamenti delle query di ricerca.
In un esempio analizzato da BleepingComputer, le ricerche effettuate dalla barra degli indirizzi del browser o da Google vengono prima reindirizzate a un sito web all'indirizzo ythingamgladt[.]com e poi ai risultati di ricerca di Bing. Una volta installata, l'estensione dannosa impedisce alla vittima di accedere alla schermata delle estensioni di Chrome, gli utenti vengono invece reindirizzati alla schermata delle impostazioni del browser quando tentano di farlo.
Si pensa che l'operazione adware sia motivata finanziariamente, con l'obiettivo di generare entrate dai reindirizzamenti di ricerca e dalle pubblicità. Naturalmente, non è difficile per le vittime notare questi reindirizzamenti, dato che non ottengono ciò che cercano su Google, ma rimuovere il malware è complicato.
"Rimuovere ChromeLoader Shampoo non è semplice come disinstallare un'estensione legittima", avverte HP nel rapporto. "Il malware si basa su script in loop e su un'attività pianificata di Windows per reinstallare l'estensione ogni volta che la vittima la rimuove o riavvia il proprio dispositivo".