microcourse
Browser hijacker / Redirector
start
What will you learn?
Descrizione dell'attacco
Un browser hijacker (dirottatore del browser) o redirector è un tipo di software potenzialmente indesiderato che modifica le impostazioni del browser (home page, motore di ricerca predefinito, nuova pagina o barre degli strumenti) o reindirizza le richieste web dell’utente verso siti controllati dall’attaccante. Lo scopo può essere lucroso, di distribuzione di altri malware, o semplicemente di manipolare il traffico web per scopi di tracciamento e profilazione.
WHAT WILL YOU LEARN?
Come viene eseguito l’attacco — tecniche e strumenti
- Bundling/ingegneria sociale: il payload viene offerto insieme a software legittimo (installer che include componenti opzionali) o tramite download ingannevoli.
- Compromissione del DNS: cambiando i server DNS del dispositivo o del router per risolvere nomi verso server controllati dall’attaccante.
- Iniezione di script nelle pagine web: tramite compromissione di server o CDN, si inseriscono redirect o iframe malevoli.
- Attacco al router: modifica delle impostazioni del router (username/password di default, firmware vulnerabile) per cambiare DNS a livello di rete.
- Download drive-by: sfruttamento di vulnerabilità del browser o plugin per installare il redirector silenziosamente.
WHAT WILL YOU LEARN?
Effetti sull’utente, sui sistemi e sulle aziende
- Esperienza utente degradata: pagine iniziali e risultati di ricerca cambiati, pop-up e pubblicità indesiderata, lentezza di navigazione.
- Perdita di privacy: raccolta di dati di navigazione, cookie, cronologia, credenziali se combinato con keylogger o form-grabber.
- Rischio di infezioni successive: i redirect possono portare a siti che distribuiscono malware più serio (ransomware, trojan).
- Perdita economica: click fraud o acquisti fraudolenti; costi di remediation e downtime per le aziende.
Want to keep learning?
DNSChanger (2011)/Fireball (scoperto 2017)
- Una botnet che modificava le impostazioni DNS degli host infetti per reindirizzare il traffico verso server controllati, monetizzando la pubblicità e controllando cosa gli utenti vedevano, fu smantellata dall’FBI nel 2011; milioni di macchine risultavano infette in tutto il mondo.
2. Consiste in un payload distribuito da una società di marketing (Rafotech) che prendeva il controllo dei browser, cambiava motore di ricerca e homepage e poteva eseguire comandi remoti. Stimato a centinaia di milioni di macchine infette nelle prime fasi.
Come proteggersi — prevenzione e mitigazione
- Per utenti individuali
- Attenzione alle installazioni: non accettare componenti opzionali negli installer; scegliere “Custom/Advanced” e deselezionare toolbars o estensioni sconosciute.
- Scaricare da fonti ufficiali: usare siti ufficiali o store verificati e leggere le recensioni con cautela.
- Limitare estensioni del browser: installare solo estensioni necessarie e verificarne permessi e autore.
- Aggiornamenti: mantenere browser, plugin e sistema operativo aggiornati.
- Protezione endpoint: usare antivirus/antimalware aggiornati e fare scansioni periodiche.
- Controllare impostazioni di rete: verificare il file hosts, le impostazioni proxy e i server DNS; cambiare password del router e aggiornare firmware.
- Backup: mantenere backup regolari dei dati importanti.
- Formazione: essere cauti con link e allegati sospetti.
Come proteggersi — prevenzione e mitigazione
2. Per aziende e team IT
- Politiche di whitelisting: limitare l’installazione di software e estensioni a software approvati.
- EDR e antivirus gestiti: usare soluzioni EDR che individuano comportamenti anomali.
- Filtraggio DNS e web proxy: bloccare domini malevoli a livello di rete e usare DNS sicuri/filtranti.
- Monitoraggio e logging: SIEM per rilevare cambi di configurazione, elevati volumi di richieste verso domini esterni, o spike di traffico verso server sospetti.
- Gestione centralizzata delle impostazioni browser: tramite GPO o soluzioni MDM per impedire installazione di estensioni non autorizzate.
- Segmentazione di rete: limitare impatto di dispositivi compromessi isolandoli.
- Hardening router/infrastruttura: password forti, disabilitare servizi non usati, aggiornare firmware, disabilitare accesso remoto non necessario.
Indicatori e segnali d’allarme (IOC)
- Homepage o motore di ricerca cambiati senza autorizzazione.
- Nuove estensioni o toolbar non installate dall’utente.
- Richieste DNS verso server non autorizzati o cambi inattesi nei server DNS.
- Presenza di redirect verso domini sconosciuti o ripetuti reindirizzamenti quando si visita siti legittimi.
- Modifiche al file hosts o voci di registro sospette.
- Aumento di pop-up o di pubblicità non correlata al sito visitato.
Browser hijacker / Redirector
romolini melissa
Created on October 10, 2025
Start designing with a free template
Discover more than 1500 professional designs like these:
View
Microcourse: Team Cybersecurity
View
Microcourse: Key Skills for the Professional Environment
View
Microcourse: Introduction to HTML
View
The Meeting Microlearning
View
The Meeting Microlearning Mobile
View
Isometric video mobile
View
Circles video mobile
Explore all templates
Transcript
microcourse
Browser hijacker / Redirector
start
What will you learn?
Descrizione dell'attacco
Un browser hijacker (dirottatore del browser) o redirector è un tipo di software potenzialmente indesiderato che modifica le impostazioni del browser (home page, motore di ricerca predefinito, nuova pagina o barre degli strumenti) o reindirizza le richieste web dell’utente verso siti controllati dall’attaccante. Lo scopo può essere lucroso, di distribuzione di altri malware, o semplicemente di manipolare il traffico web per scopi di tracciamento e profilazione.
WHAT WILL YOU LEARN?
Come viene eseguito l’attacco — tecniche e strumenti
WHAT WILL YOU LEARN?
Effetti sull’utente, sui sistemi e sulle aziende
Want to keep learning?
DNSChanger (2011)/Fireball (scoperto 2017)
2. Consiste in un payload distribuito da una società di marketing (Rafotech) che prendeva il controllo dei browser, cambiava motore di ricerca e homepage e poteva eseguire comandi remoti. Stimato a centinaia di milioni di macchine infette nelle prime fasi.
Come proteggersi — prevenzione e mitigazione
Come proteggersi — prevenzione e mitigazione
2. Per aziende e team IT
Indicatori e segnali d’allarme (IOC)