Yeabests.cc nuovo hijacker per browser invisibile agli antivirus

 

Proto: N030416. 

Con la presente Yoroi desidera comunicarLe che è stata recentemente identificata una nuova tecnica di infezione che nasconde il malware dalle scansioni della maggior parte degli Antivirus esistenti sul mercato.
Si tratta di una minaccia estremamente efficace perché sostiuisce l’utilizzo di file e registro di Windows, comunemente monitorati dai sistemi antivirus, con una opportuna configurazione di Windows Management Instrumentation (WMI), uno strumento utilizzato dagli amministratori di sistema per richiedere informazioni o ricevere notifiche da Windows.
WMI consente di raccogliere informazioni riguardanti i programmi installati, l’utilizzo dei dischi o anche monitorare le cartelle in attesa di modifiche. Inoltre consente di specificare, attraverso script VBScript o PowerShell, alcune operazioni da eseguire a seguito di determinati eventi di sistema, come la creazione di un file o il collegamento di un dispositivo esterno.

A beneficiare di questo nuovo approccio è Yeabests.cc noto anche come TopYea, un adware appartenente alla famiglia Adware/ShortcutHijacker. L’adware viene comunemente distribuito all’interno degli installer dei programmi free pubblicizzati nelle campagne adware, in particolare nei circuiti pubblicitari delle reti di streaming, ma certamente sarà ben presto inserito nell’arsenale a disposizione degli Exploit Kit Angler e Nucler, uno dei principali vettori di diffusione di malware del momento.
Yeabests.cc registra come ActiveScriptEventConsumer nel namespace ROOTsubscription di Windows Management Instrumentation uno script VBScript che ha il compito di modificare i link ai browser presenti nel sistema facendo in modo che il sito http://yeabests.cc venga impostato come prima pagina visualizzata


Esempio di WMI infettato da Yeabests.cc


Fammo parte dei browser colpiti dall’infezione:
  • Internet Explorer
  • Chrome
  • Firefox
  • 360 Chrome
  • Sogou Explorer
  • Opera
  • Safari
  • Maxthon
  • QQ Browser
  • Baidu Browser
  • TheWorld Browser
  • Liebao
  • Tencent Traveler
Link Internet Explorer infetto
Esempio di link di Internet Explorer infetto


Modificare manualmente i link presenti nel sistema per rimuovere questa impostazione risolve solo momentaneamente il problema perché la configurazione inserita in WMI farà in modo che lo script venga eseguito ogni 10 secondi, andando così a infettare nuovamente i link. Sono stati sviluppati alcuni strumenti mirati per la rimozione di questo tipo di minacce, come ad esempio Shortcut Cleaner di Bleeping Computer, scaricabile da questa pagina.

Yoroi suggerisce di mantenere alto il livello di guardia all’interno della vostra organizzazione, di dotare le vostre organizzazioni di strumenti di sicurezza perimetrali opportuni e moderni come Next Generation Firewall, Next Generation IPS e IDS, di monitorare attivamente lo stato di sicurezza degli asset aziendali attraverso servizi di monitoraggio come MAMP (Managed Advanced Malware Protection).



Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index

 

%d bloggers like this: