Tra le minacce del passato, ce ne fu una molto interessante che accompagnò alcune versioni di Internet Explorer.

Si trattava dei cosiddetti BHO, progettati come componenti aggiuntivi del browser per estenderne funzionalità e servizi.

Tuttavia, in poco tempo, gli hacker riuscirono a trasformarli in mezzi efficaci per infettare i dispositivi.

BHO maligni

Come ci sono riusciti? E come è stato possibile risolvere il problema?

Oggi vi racconteremo tutto su questa vicenda.

Sommario degli argomenti

  1. BHO: di cosa si tratta
  2. Storia di questa minaccia
  3. Metodi per contrarre l’infezione
  4. Che tipo di malware sono i BHO
  5. Indentificare i Bad BHO
  6. Rimuovere i Browser Helper Object dannosi
  7. Come aggirare le conseguenza dell’installazione di BHO
  8. Conclusioni

BHO: di cosa si tratta

Un BHO, ovvero un Browser Helper Object, altro non è se non un programma integrato in Internet Explorer (dalla versione 4 in su) che permette di personalizzare l’interfaccia in funzione delle prederenze dell’utente.

Come si può constatare, quindi, non si trattava di per se di malware, ma di plug-in specifici di Internet Explorer che venivano caricati ad ogni esecuzione del browser, per migliorarne le prestazioni e aumentarne le funzionalità.

Consistevano in moduli DDL (Dynamic Link Library) che contiene il codice che definisce il comportamento del BHO, inclusi:

  • i punti di ingresso
  • le funzioni
  • le interfacce COM necessarie per l’interazione con il browser.

Il modulo DLL può anche includere risorse come immagini, icone o file di configurazione utilizzati dal BHO.

Storia di questa minaccia

Il primo “assistente del browser” è stato diffuso nel 1997 come componente aggiuntiva plugin di Internet Explorer 4.

Negli anni, però, si sono dimostrati essere un’arma a doppio taglio, perché:

  • se da una parte permettevano la personalizzazione del browser
  • dall’altra sono stati veicolo di Spyware e Adware.

Ad esempio tra i PUP che sono stati distribuiti tramite BHO maligni troviamo:

  • Download.ject: un malware, diffuso per lo più nel 2004, che si attivava in concomitanza con l’accesso alla home banking per catturare le credenziali di accesso riservate
  • Myway Searchbar: uno spyware, anch’esso per lo più attivo nei primi anni 2000, in grado di tenere traccia della cronologia di navigazione e trasmetterla a terze parti senza l’autorizzazione dell’utente

La Microsoft ha risposto pubblicando Service Pack 2 che conteneva un add-on che mostrava una lista di tutti i BHO installati, permettendone così la disattivazione in qualsiasi momento.

Tuttavia, prima che fosse aggiunta questa funzionalità, i BHO non apportavano modifiche alla grafica del browser e, di conseguenza, potevano rimanere nascosti all’utente per tempi lunghissimi.

Con l’introduzione di Microsoft Edge nel 2020 e la decisione di non supportare più Internet Explorer dal Marzo 2021, i motori di rendering, ovvero quelli che traducono codice HTML,CSS e Javascript in forma visuale, sono stati abbandonati, e con essi i BHO.

Metodi per contrarre l’infezione

Normalmente, i Browser Helper Object venivano installati direttamente dall’utente, il quale era quasi sempre ignaro di importare sul proprio browser dei BHO malevoli.

Di conseguenza, l’utente sceglie di installare un programma senza essere cosciente dei veri risvolti della sua azione.

I BHO infarciti di programmi potenzialmente indesiderati erano normalmente pubblicizzati come strumenti funzionali, come:

  • Blocco delle finestre popup: potevano essere utilizzati per bloccare finestre popup indesiderate durante la navigazione.
  • Filtro dei contenuti: potevano filtrare o bloccare determinati contenuti web in base a criteri specifici, come la presenza di parole chiave o la provenienza del sito.
  • Ricerca avanzata: potevano fornire funzionalità di ricerca avanzata all’interno del browser, consentendo agli utenti di effettuare ricerche più specifiche o personalizzate.
  • Gestione dei download: alcuni BHO potevano gestire i download dei file, consentendo agli utenti di controllare meglio il processo di download o offrendo funzionalità aggiuntive come la scansione antivirus dei file scaricati

Insomma: erano a tutti gli effetti antenati dei moderni plug-in. Gli stessi che, tutt’ora, vengono spacciati come funzionali a svolgere queste attività e che spesso diventano veicolo di infezioni e attacchi informatici.

Che tipo di malware sono i bad BHO

Solitamente, i software malevoli che venivano iniettati nei BHO consistevano in:

  • Dirottatori (noti anche come browser hijacker), capaci reindirizzare il traffico su siti compromessi
  • Spyware, software malevoli che monitoravano le azioni della vittima, ad esempio le abitudini di navigazione o i tasti pigiati
  • Adware che inondano la vittima di messaggi pubblicitari indesiderati
  • Software command and control, programmi che assumono il controllo delle impostazioni del browser

Identificare i Bad BHO

Identificare gli assistenti del browser maligni è il primo passo per superare i rischi legati a questa minaccia.

Quando i BHO erano appena stati rilasciati questo non era possibile, successivamente, ci si è resi conto della necessità di accedere facilmente alla lista completa dei BHO installati (consapevolmente o inconsapevolmente).

Se si ha Windows XP SP2 installato si può fare clic sulla funzione “Utensili” per aprire poi “Gestisci componenti aggiuntivi” e accedere all’elenco dei BOH e alle relative impostazioni.

Nel tempo, sono stati sviluppati anche dei Browser Hepler Object con specifiche funzionalità anti-spyware, come BHO Demon. Grazie a questo, divenne possibile:

  • il monitoraggio in tempo reale dei BOH
  • il rilevamento e conseguente blocco di quelli dannosi

Rimuovere i Browser Helper Object dannosi

Di solito, i programmi potenzialmente indesiderati che venivano installati a causa dei BHO maligni potevano essere disinstallati come tutte le normali applicazioni che sono presenti in un dispositivo.

In alcuni casi, però, questa procedura non andava totalmente buon fine, oppure, se anche il BHO veniva disinstallato, c’era il concreto rischio che il PUP rimanesse sul browser.

In questo caso, le risorse offerte da Add-on Manager in Internet Explorer permettevano di disabilitarli facilmente.

Tuttavia, già all’epoca era pratica comune per gli hacker rinominare i loro programmi dannosi in modo da farli sembrare innocui o addirittura necessari, così da raggirare l’utente e assicurarsi la persistenza.

Per contrastare questo ulteriore problema, si diffusero delle risorse nel web che permettevano di verificare la legittimità del BHO facendo una ricerca a partire dal loro nome commerciale.

Come aggirare le conseguenze dell’installazione di BHO pericolosi

Le soluzioni che permettevano di prevenire i vecchi BHO malevoli sono pressoché speculari a quelli che oggi so adotterebbero per la rimozione di PUP e plug-in dannosi.

Tra queste possiamo ricordare:

  1. Prestare attenzione durante l’installazione di nuovi programmi: Leggere attentamente i prompt di installazione e le condizioni di utilizzo durante l’installazione di nuovi programmi. Deselezionare eventuali opzioni che offrono l’installazione di toolbar, estensioni o componenti aggiuntivi non necessari o sconosciuti.
  2. Utilizzare software di sicurezza affidabile: Installare un software antivirus/antimalware di qualità e mantenerlo aggiornato. Il software di sicurezza può rilevare e bloccare l’installazione di BHO dannosi o segnalare attività sospette.
  3. Esaminare e rimuovere BHO indesiderati: Periodicamente, verificare l’elenco delle estensioni o dei componenti aggiuntivi installati nel browser. Rimuovere quelli sospetti, non utilizzati o indesiderati. Consultare la documentazione del browser per istruzioni specifiche su come gestire le estensioni.
  4. Eseguire scansioni di sicurezza: Effettuare scansioni regolari del sistema con il software antivirus/antimalware per rilevare e rimuovere eventuali minacce o programmi dannosi, inclusi i BHO indesiderati.
  5. Monitorare l’attività del browser: Prestare attenzione alle modifiche improvvisate delle impostazioni del browser, come la pagina iniziale o il motore di ricerca predefinito. Se si notano modifiche non autorizzate, verificare e ripristinare le impostazioni corrette.

Conclusioni

I Browser Helper Object malevoli erano un problema specifico di Internet Explorer e hanno causato la diffusione di diversi malware (Adware, Spyware, Hijacker) specialmente nei primi anni del 2000.

Successivamente la società si è adoperata per sviluppare strumenti che permettessero l’identificazione e la rimozione di questi programmi contraffatti. Infine Internet Explorer è stato definitivamente abbandonato in favore di Microsoft Edge, che è come tutti gli altri browser immune a questa minaccia.

Sebbene non ci sia più motivo di allarme legato a questi software, questa vicenda ricorda ancora una volta come l’attenzione all’origine dei programmi installati sia fondamentale e come spesso i programmi gratuiti si rivelino spesso solo uno specchietto per le allodole, in cui nascondere qualche programma dannoso.

Articoli che potrebbero interessarti: