Redazione RHC : 17 Novembre 2024 08:36
Quest’estate, Google ha introdotto una nuova sicurezza per i browser Chrome ed Edge, chiamata Application-Bound Encryption (ABE), per prevenire il furto di cookie e dati di autorizzazione. Tuttavia, i criminali informatici hanno trovato rapidamente il modo di aggirare questa protezione, il che ha portato a una nuova ondata di attività malware, come recentemente segnalato dagli esperti di Red Canary .
Diversi popolari infostealer, come Stealc, Vidar, LummaC2 e Meduza, si sono già adattati alle innovazioni. La tattica principale è utilizzare il debug remoto di Chromium tramite le opzioni di avvio del browser. Il malware crea nuove finestre nascoste del browser con accesso ai cookie, consentendo di recuperare i dati senza attirare l’attenzione dell’utente. Questo metodo viene utilizzato anche nelle nuove versioni di Remcos e Cryptbot.
Un altro approccio consiste nell’utilizzare la memoria dei processi in esecuzione. Utilizzando lo strumento ChromeKatz, gli aggressori scaricano la memoria del browser e ne estraggono i cookie. Questa tecnica non lascia tracce visibili per gli antivirus, ma richiede una corrispondenza esatta degli indirizzi in memoria, il che la rende vulnerabile ai cambiamenti nelle versioni di Chromium.
Sei un Esperto di Formazione?
Entra anche tu nel Partner program! Accedi alla sezione riservata ai Creator sulla nostra Academy e scopri i vantaggi riservati ai membri del Partner program.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Un’altra soluzione alternativa consiste nell’interagire con le interfacce COM del browser. Alcuni malware, come Metastealer, utilizzano questa tecnica inserendo i propri file nella stessa directory di Chrome per aggirare i controlli di sicurezza integrati.
Gli aggressori hanno anche trovato un modo per aggirare l’ABE attraverso il registro di Windows. Modificando le chiavi dei criteri, possono disabilitare la protezione per tutti gli utenti del dispositivo. Ciò richiede diritti di amministratore, ma a giudicare dai risultati di VirusTotal, un approccio simile è già utilizzato attivamente.
Nonostante il promettente metodo di protezione abbia mostrato pochissima resistenza agli hacker, gli esperti di sicurezza consigliano comunque di aggiornare i browser alle versioni più recenti, poiché includono misure di protezione integrate che impediscono metodi di attacco obsoleti.
Inoltre, la disattivazione della crittografia associata all’applicazione può essere rilevata nel registro utilizzando i seguenti comandi di sistema, a seconda del browser utilizzato:
Se il valore della chiave è 0, ciò indica che la protezione è disabilitata.
È importante capire che in un panorama delle minacce informatiche in rapida evoluzione, le sole misure di sicurezza integrate nei browser non sono più sufficienti. Le aziende dovrebbero utilizzare attivamente strumenti di sicurezza avanzati, come sistemi di rilevamento delle minacce e analisi comportamentali, e formare regolarmente i dipendenti sulle questioni di sicurezza. Anche le più moderne tecnologie di sicurezza possono essere rapidamente hackerate se dietro ci sono aggressori esperti e motivati.
Il confronto tra sviluppatori di sicurezza e criminali informatici non è un processo statico, ma una corsa agli armamenti costante, dove vince chi si adatta più velocemente alle nuove sfide. È importante rimanere sempre un passo avanti e non fare affidamento solo sulle misure di sicurezza di base.
RedazioneLe persone tendono a essere più comprensive nei confronti dei chatbot se li considerano interlocutori reali. Questa è la conclusione a cui sono giunti gli scienziati dell’Universit&#x...
La Sfida della Sicurezza nelle Reti Wi-Fi e una Soluzione Adattiva. Nell’era della connettività pervasiva, lo standard IEEE 802.11(meglio noto come Wi-Fi ), è diventato la spina dorsa...
Nel mese di aprile 2025, una valvola idraulica di una diga norvegese è stata forzatamente aperta da remoto per diverse ore, a seguito di un attacco informatico mirato. L’episodio, riportat...
Sul forum underground russo XSS è apparso un post che offre una “Collection di Lead Verificati Italia 2025” con oltre 1 milione di record. Questo tipo di inserzioni evidenzia la con...
Nel cuore dei conflitti contemporanei, accanto ai carri armati, ai droni e alle truppe, si combatte una guerra invisibile, silenziosa e spesso sottovalutata: la cyber war. Non è solo uno scenario...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
