A partire da ottobre 2024, ignoti cybercriminali hanno sfruttato la tecnica del malvertising e il popolare Node.js per cercare di accedere ai sistemi di alcuni clienti di Microsoft, rubati dati sensibili e installare malware. L’azienda di Redmond ha descritto la catena di infezione e fornito utili suggerimenti.
Malvertising e Node.js
Il malvertising è una tecnica molto utilizzata dai cybercriminali. Il termine è una combinazione tra malware e advertising che indica la visualizzazione di inserzioni pubblicitarie (principalmente nei risultati dei motori di ricerca) fasulle. L’ignara vittima finisce su un sito di phishing o avvia involontariamente il download di file infetti.
In questo caso, gli utenti vengono portati su siti simili a quelli legittimi e invitati a scaricare un installer. Le pubblicità riguardano soprattutto le criptovalute, quindi i file sembrano di Binance, TradingView o altre piattaforme di trading. L’installer carica una DLL che crea un’attività pianificata per un comando PowerShell.
Il comando consente di prelevare vari script da remoto che raccolgono informazioni sul sistema (BIOS, CPU, GPU, memoria, sistema operativo e altre). Un altro script scarica il runtime di Node.js, un file JSC (JavaScript Compiled) e varie librerie. L’eseguibile Node.js lancia il file JSC che inizia a rubare dati sensibili dal browser.
Altri script permettono di rubare le credenziali di login e distribuire malware. Microsoft consiglia di usare la protezione cloud di Defender Antivirus, monitorare gli script PowerShell e bloccare le connessioni sospette in uscita con un firewall.
Ti potrebbe interessare
19 apr 2025