Secondo quanto riferito dai ricercatori di sicurezza informatica appartenenti a Malwarebytes, ancora una volta degli hacker sono riusciti a sostituire un programma di installazione con un malware pericoloso. Se anche tu hai scaricato JDownloader il 6 o 7 maggio, durante il suo periodo di vulnerabilità, dovresti verificare l’integrità del file.
L’attacco consisteva nella modifica del sito web e nella sostituzione dei link di installazione alternativi con link compromessi; SmartScreen avvisa dell’esecuzione di tali link a causa della mancanza della firma digitale.
Infatti, è proprio questa popolare applicazione per la gestione dei download ad essere stata colpita dagli aggressori. La conferma dell’attacco e della conseguente violazione è stata confermata su reddit in un post ufficiale degli sviluppatori del programma di installazione colpito dagli hacker.
Posso confermare che il sito è stato compromesso, l’ho rimosso per ulteriori indagini. L’attacco ha modificato la pagina di download alternativa e scambiato link e dettagli. Quelli dannosi non hanno la firma digitale e pertanto SmartScreen bloccherà/avvertirà l’esecuzione del file. Quelli corretti sono sicuri e dotati di firma digitale. Quelli corretti sono sicuri e dotati di firma digitale.
Gli sviluppatori hanno eliminato il malware
Gli sviluppatori dopo aver confermato la violazione si sono messi subito al lavoro per eliminare la versione con malware, applicare una patch di sicurezza e rafforzare le configurazioni del server. Stando a quanto riportato da Malwarebytes, il sito web è stato ripristinato tra l’8 e il 9 maggio con link di installazione verificati e sicuri.
La causa dell’attacco è stata identificata in una vulnerabilità di sicurezza del CMS non corretta, che consentiva agli aggressori di modificare gli elenchi di controllo degli accessi senza autenticazione.
Gli sviluppatori consigliano di verificare che i programmi di installazione abbiano le firme digitali corrette di “AppWork GmbH“. La mancanza di queste firme digitali è la conferma che l’utente ha scaricato il programma di installazione violato contenente il pericoloso malware.
