Application-Bound Encryption (ABE): Gli Infostealer Hanno Già Superato la Protezione
Redazione RHC : 17 Novembre 2024 08:36
Quest’estate, Google ha introdotto una nuova sicurezza per i browser Chrome ed Edge, chiamata Application-Bound Encryption (ABE), per prevenire il furto di cookie e dati di autorizzazione. Tuttavia, i criminali informatici hanno trovato rapidamente il modo di aggirare questa protezione, il che ha portato a una nuova ondata di attività malware, come recentemente segnalato dagli esperti di Red Canary .
Diversi popolari infostealer, come Stealc, Vidar, LummaC2 e Meduza, si sono già adattati alle innovazioni. La tattica principale è utilizzare il debug remoto di Chromium tramite le opzioni di avvio del browser. Il malware crea nuove finestre nascoste del browser con accesso ai cookie, consentendo di recuperare i dati senza attirare l’attenzione dell’utente. Questo metodo viene utilizzato anche nelle nuove versioni di Remcos e Cryptbot.
Un altro approccio consiste nell’utilizzare la memoria dei processi in esecuzione. Utilizzando lo strumento ChromeKatz, gli aggressori scaricano la memoria del browser e ne estraggono i cookie. Questa tecnica non lascia tracce visibili per gli antivirus, ma richiede una corrispondenza esatta degli indirizzi in memoria, il che la rende vulnerabile ai cambiamenti nelle versioni di Chromium.
Sei un Esperto di Formazione?
Entra anche tu nel Partner program!
Accedi alla sezione riservata ai Creator sulla nostra Academy e scopri i vantaggi riservati ai membri del Partner program.
Per ulteriori informazioni, scrivici ad [email protected] oppure su Whatsapp al 379 163 8765
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo
Un’altra soluzione alternativa consiste nell’interagire con le interfacce COM del browser. Alcuni malware, come Metastealer, utilizzano questa tecnica inserendo i propri file nella stessa directory di Chrome per aggirare i controlli di sicurezza integrati.
Gli aggressori hanno anche trovato un modo per aggirare l’ABE attraverso il registro di Windows. Modificando le chiavi dei criteri, possono disabilitare la protezione per tutti gli utenti del dispositivo. Ciò richiede diritti di amministratore, ma a giudicare dai risultati di VirusTotal, un approccio simile è già utilizzato attivamente.
Nonostante il promettente metodo di protezione abbia mostrato pochissima resistenza agli hacker, gli esperti di sicurezza consigliano comunque di aggiornare i browser alle versioni più recenti, poiché includono misure di protezione integrate che impediscono metodi di attacco obsoleti.
Inoltre, la disattivazione della crittografia associata all’applicazione può essere rilevata nel registro utilizzando i seguenti comandi di sistema, a seconda del browser utilizzato:
- Query reg.exe HKLM\Software\Policies\Google\Chrome /v ApplicationBoundEncryptionEnabled
- Query reg.exe HKLM\Software\Policies\Microsoft\Edge /v ApplicationBoundEncryptionEnabled
Se il valore della chiave è 0, ciò indica che la protezione è disabilitata.
È importante capire che in un panorama delle minacce informatiche in rapida evoluzione, le sole misure di sicurezza integrate nei browser non sono più sufficienti. Le aziende dovrebbero utilizzare attivamente strumenti di sicurezza avanzati, come sistemi di rilevamento delle minacce e analisi comportamentali, e formare regolarmente i dipendenti sulle questioni di sicurezza. Anche le più moderne tecnologie di sicurezza possono essere rapidamente hackerate se dietro ci sono aggressori esperti e motivati.
Il confronto tra sviluppatori di sicurezza e criminali informatici non è un processo statico, ma una corsa agli armamenti costante, dove vince chi si adatta più velocemente alle nuove sfide. È importante rimanere sempre un passo avanti e non fare affidamento solo sulle misure di sicurezza di base.
RedazioneLa redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.
