Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

LA GUIDA

Browser hijacking, così dirottano il nostro browser: come difendersi

Un browser hijacker è un malware in grado di modificare le impostazioni del browser e reindirizzare l’utente su siti Web malevoli per trarre profitto dall’incremento di traffico e popolarità. Ecco i consigli per impedire che ciò accada

08 Gen 2019
C

Matteo Cuscusa

Ethical Hacker & Security Expert


Un browser hijacker è un malware in grado di modificare le impostazioni del browser, senza autorizzazione, per fare sì che l’utente venga rediretto su siti Web che non aveva intenzione di visitare.

Il motivo principale per cui tale tecnica viene utilizzata è quello di generare traffico su siti Web specifici, selezionati dall’attaccante, che ricava profitto dal traffico stesso. Uno dei metodi più comuni è quello di modificare la home page del browser, in modo che, ad ogni avvio, l’utente si connetta al sito web desiderato da chi ha effettuato l’attacco.

Il profitto ottenuto dal cyber criminale, nello specifico tramite il traffico prodotto, deriva dal fatto che spesso tali attività sono condotte per conto di gruppi disposti a pagare per promuovere prodotti o siti Web.

Lato utente, si assiste a questa esperienza:

  • apertura pagina web indesiderata;
  • visualizzazione della pagina e dei prodotti in esso presenti.

Lato attaccante, lo scenario è il seguente:

  • enorme quantità di traffico generato su una pagina specifica;
  • visualizzazione forzata da parte di numerosi utenti di quanto presente nel sito Web;
  • aumento del valore del sito Web/pagina.

Come funziona un attacco di tipo browser hijacking

I software utilizzati per gli attacchi di hijacking, nella maggioranza dei casi, non fanno altro che sostituire l’URL selezionato dall’utente come home page del browser con quello indicato dall’attaccante.

Non sono rari, comunque, i casi in cui tali software procedano ad installare spyware (software che raccolgono informazioni senza il consenso dell’utente e li inviano a terze parti) o keylogger (software che registrano solitamente le battute su tastiera) sul computer dell’utente, modificando o danneggiando il registro del sistema operativo.

La maggior parte dei programmi utilizzati per il browser hijacking sono contenuti all’interno di bundle che l’utente scarica, con lo scopo di installare un software specifico, e vengono proposti come add-on del browser o promozioni durante l’installazione stessa. Per un utente medio non è semplice comprendere esattamente cosa stia succedendo e in genere, in questi casi, il comportamento abituale è quello di cliccare sul pulsante “Avanti” senza leggere quanto indicato, nonostante venga offerta in maniera chiara la possibilità di non installare il browser hijacker.

Il malware necessario a compiere browser hijacking può anche essere diffuso tramite allegati presenti nelle e-mail o visitando siti web malevoli, compromessi o direttamente creati dall’attaccante.

Browser hijacking: le caratteristiche di un sistema compromesso

Un sistema compromesso in seguito ad un attacco di tipo browser hijacking presenta caratteristiche tipiche:

  • browser instabile;
  • home page modificata;
  • apertura di numerosi popup o di pagine web non richieste;
  • HOSTS file modificato;
  • cali di performance del computer;
  • processi non noti in esecuzione.

Gli hijackers più famosi

Tra i browser hijacker più famosi possiamo ricordare:

  • Ask Toolbar: presente solitamente nel bundle dell’installer Java SE. Per impedirne l’installazione, l’utente avrebbe dovuto deselezionare l’opzione manualmente.
  • Babylon Toolbar: tipico hijacker che procedeva al cambio della home page del browser presente sul pc sul quale veniva installato con la pagina di default del motore di ricerca Babylon.
  • Conduit: hijacker e PUA, procedeva al furto di informazioni personali e al trasferimento delle stesse a terze parti. Procedeva alla modifica di home page e pagine di default del browser. I creatori di Conduit si sono resi noti anche per Conduit Search Protect, software che, millantando la capacità di proteggere il browser, andava di fatto a bloccare la possibilità, da parte dell’utente, di variare i settaggi del browser stesso. Ciò che veniva di fatto protetta era la permanenza di Conduit nel sistema. La disinstallazione di Conduit Search Protect andava a rimuovere anche i file di boot di Windows, costringendo ad una completa reinstallazione del sistema operativo.

Come rimuovere i browser hijacker

La rimozione di un browser hijacker è generalmente semplice.

Gli step più comuni includono:

  • resettare i settaggi del browser a quelli di default e quindi reimpostare la home page. In molti casi ciò è sufficiente per eliminare la problematica.
  • verificare i DNS presenti nelle impostazioni di rete e svuotare la cache DNS.
  • verificare gli add-on installati sul browser, eventuali plugin ed estensioni e rimuovere quelle indesiderate.
  • disinstallare i software erroneamente installati.
  • verificare ed eventualmente correggere il contenuto del file HOSTS.

Come difendersi dal browser hijacker

Ci sono numerose maniere di evitare infezioni da browser hijacker e senza dubbio la più importante è quella di avere la consapevolezza di cosa si stia installando sul proprio computer ed il buon senso di sapere quando fermarsi o reperire ulteriori informazioni sul prodotto prima di procedere. Bisogna infatti sottolineare, ancora una volta, come il maggior veicolo di diffusione sia tramite bundle di software legittimo; leggere quindi sempre termini e condizioni.

A livello tecnico, tra le accortezze principali, è possibile indicare:

  • applicare sempre gli aggiornamenti al sistema operativo e utilizzare le versioni più recenti del browser. In questa maniera, in caso di errore umano ed installazione di una componente di browser hijacking, il malware potrebbe non trovare terreno fertile per eseguire exploit e compromettere browser ed elaboratore;
  • non installare plugin di dubbia provenienza e rimuovere quelli non necessari. I plugin possono contenere malware o essere vulnerabili ad exploit;
  • non cliccare su link sospetti presenti nei siti Web visitati o in e-mail ricevute, sia da contatti conosciuti che sconosciuti;
  • disabilitare JavaScript, in quanto esso ha la possibilità teorica di accedere a dati sensibili come password, ricavare informazioni come indirizzo IP e installare ulteriori script senza il consenso dell’utente. Di default, JavaScript va sempre rimosso;
  • utilizzare un antivirus e mantenerlo aggiornato. L’antivirus deve preferibilmente avere la possibilità di effettuare protezione real time, verificando cambi di configurazione sull’elaboratore ed essere in grado di rilevare PUA (Potentially Unwanted Applications);
  • utilizzare un cosiddetto second opinion scanner, cioè un software di controllo antivirale, in modo da avere un ulteriore controllo rispetto al solo antivirus.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5