Gli esperti di D3Lab hanno individuato una campagna malware rivolta a utenti italiani distribuita tramite email di phishing mascherate da comunicazioni aziendali. Il messaggio, con oggetto “Fattura #2818999851”, invita la vittima a scaricare un presunto documento PDF: in realtà il file è uno script JavaScript Windows offuscato denominato Fattura-2819889242.pfd.js, un nome studiato per sembrare simile a un PDF.
L’aspetto più rilevante della campagna non è però il file iniziale, ma la tecnica utilizzata per trasformare il browser in un punto di accesso al sistema. Il malware installa infatti un’estensione malevola di Google Chrome collegata a un Native Messaging Host, il meccanismo che permette alle estensioni di comunicare con applicazioni locali.
Attraverso questo collegamento, gli attaccanti sono riusciti a superare le normali limitazioni della sandbox del browser e a impartire comandi PowerShell direttamente al sistema Windows della vittima.
L’infezione utilizzainoltre una tecnica di DLL side-loading: un eseguibile legittimo firmato veniva sfruttato per caricare una libreria dannosa, avviando poi componenti nascosti responsabili della configurazione dell’estensione e del collegamento con il sistema operativo.
La backdoor permette di raccogliere informazioni dal browser, tra cui cookie, schede aperte, URL visitati e dati di identificazione della vittima, oltre a ricevere comandi da remoto tramite comunicazioni HTTPS verso un server di comando e controllo.
Secondo D3Lab, la minaccia dimostra come strumenti legittimi — estensioni Chrome, policy aziendali e Native Messaging — possano essere combinati dagli attaccanti per creare un’infrastruttura di controllo persistente.
Per la difesa, gli esperti raccomandano di monitorare installazioni anomale di estensioni Chrome, modifiche alle policy del browser, registrazioni Native Messaging inattese, esecuzioni sospette di PowerShell e attività insolite legate a cookie e sessioni del browser.
https://www.d3lab.net/breaking-out-of-chromes-sandbox-a-native-messaging-backdoor-observed-in-italy/
