Una falla di sicurezza presente in Google Chrome, già corretta dalla stessa Google lo scorso mese di marzo, viene sfruttata come zero-day dal gruppo di minacce denominato TaxOff per implementare una backdoor chiamata Trinper.
L’attacco, rilevato a metà marzo 2025 dai ricercatori di Positive Technologies, ha fatto leva su una vulnerabilità di sandbox escape identificata con il codice CVE-2025-2783, caratterizzata da un punteggio CVSS di 8.3.
Google ha risolto la problematica nel corso dello stesso mese dopo che Kaspersky aveva segnalato lo sfruttamento in ambienti reali nell’ambito di una campagna denominata Operation ForumTroll, diretta principalmente contro diverse organizzazioni russe.
La scoperta dello sfruttamento di questa falla di sicurezza ci ricorda l’importanza di mantenere sempre aggiornati i propri sistemi operativi, le applicazioni e i dispositivi: una regola di base di cyber igiene che può notevolmente mitigare i rischi di un attacco informatico.
Indice degli argomenti
Bug di Chrome: come funziona lo sfruttamento
Come indicato dai ricercatori di sicurezza che hanno identificato la vulnerabilità zero-day nel browser Chrome, “il vettore di attacco iniziale consisteva in un’e-mail di phishing contenente un collegamento dannoso”.
Nel momento in cui la vittima faceva clic sul link, veniva attivato un exploit one-click (la CVE-2025-2783, appunto), determinando l’installazione della backdoor Trinper utilizzata dai criminali del gruppo TaxOff.
TaxOff rappresenta la denominazione assegnata a un gruppo hacker documentato per la prima volta da Kaspersky alla fine di novembre 2024, quando prendeva di mira agenzie governative nazionali attraverso e-mail di phishing a tema legale e finanziario per veicolare Trinper.
Sviluppata in C++, la backdoor utilizza il multithreading per acquisire informazioni sull’host della vittima, registrare sequenze di tasti premuti, raccogliere file con estensioni specifiche (.doc, .xls, .ppt, .rtf e .pdf) e stabilire una connessione con un server remoto per ricevere comandi ed estrarre i risultati dell’esecuzione.
Le istruzioni trasmesse dal server di comando e controllo (C2) ampliano le funzionalità dell’impianto, consentendogli di leggere e scrivere file, eseguire comandi tramite cmd.exe, avviare una reverse shell, modificare directory e arrestarsi autonomamente.
“Il multithreading garantisce un elevato grado di parallelismo per nascondere il backdoor mantenendo al contempo la capacità di raccogliere ed estrarre dati, installare moduli aggiuntivi e mantenere le comunicazioni con il C2”, aveva osservato in precedenza il ricercatore Vladislav Lunin di Positive Technology.
Attacchi di phishing: un collegamento tra i gruppi TaxOff e Team 46
La stessa Positive Technologies ha riferito che l’indagine sull’intrusione di metà marzo 2025 ha portato alla scoperta di un altro attacco risalente all’ottobre 2024, anch’esso iniziato con un’e-mail di phishing che si presentava come invito a una conferenza internazionale denominata “Sicurezza dello Stato dell’Unione nel mondo moderno”.
Tale e-mail conteneva un collegamento che scaricava un file archivio ZIP contenente un collegamento Windows che, a sua volta, lanciava un comando PowerShell per presentare infine un documento esca mentre rilasciava contemporaneamente un loader responsabile dell’avvio del backdoor Trinper mediante il loader open source Donut. Una variante dell’attacco è stata trovata con il loader Donut sostituito da Cobalt Strike.
Questa catena di attacco, secondo l’azienda, condivide diverse similitudini tattiche con quella di un altro gruppo hacker monitorato come Team46, sollevando la possibilità che i due cluster di attività minacciose siano in realtà lo stesso gruppo.
In modo interessante, un’altra serie di email di phishing inviate dagli attaccanti Team46 un mese prima sosteneva di provenire dall’operatore di telecomunicazioni moscovita Rostelecom, avvertendo i destinatari di presunti blackout di manutenzione dell’anno precedente.
Queste email includevano un archivio ZIP che incorporava un collegamento che lanciava un comando PowerShell per distribuire un loader precedentemente utilizzato per veicolare un altro backdoor in un attacco diretto contro un’azienda russa non identificata del settore del trasporto merci ferroviario.
L’intrusione del marzo 2024, dettagliata da Doctor Web, si distingue per il fatto che uno dei payload ha sfruttato una vulnerabilità di DLL hijacking nel browser Yandex (CVE-2024-6473, punteggio CVSS: 8.4) come zero-day per scaricare ed eseguire malware non specificato. La problematica è stata risolta nella versione 24.7.1.380 rilasciata nel settembre 2024.
“Questo gruppo sfrutta exploit zero-day, il che gli consente di penetrare più efficacemente nelle infrastrutture sicure”, hanno dichiarato i ricercatori. “Il gruppo inoltre crea e utilizza malware sofisticato, il che implica una strategia a lungo termine e l’intenzione di mantenere la persistenza sui sistemi compromessi per un periodo prolungato”, si legge nel rapporto Doctor Web.
Come aggiornare Google Chrome
Visto il rischio elevato che può comportare un eventuale sfruttamento della vulnerabilità zero-day in Chrome, è importante aggiornare quanto prima la versione del browser installata sui propri dispositivi.
Ricordiamo che Google ha già risolto definitivamente la zero-day con il rilascio delle versioni aggiornate di Chrome per Windows, Mac e Linux sul canale Desktop Stable.
Benché Chrome si aggiorni automaticamente quando sono disponibili nuove patch di sicurezza, se non lo abbiamo ancora fatto possiamo accelerare il processo accedendo al menu di Chrome cliccando sul pulsante con i tre puntini in alto a destra.
Quindi, nel menu contestuale che appare è sufficiente cliccare su Guida/Informazioni su Google Chrome e attendere il completamento dell’aggiornamento del browser.
Al termine, è sufficiente cliccare sul pulsante Riavvia per installarlo immediatamente.
