Application-Bound Encryption (ABE): Gli Infostealer Hanno Già Superato la Protezione

Quest’estate, Google ha introdotto una nuova sicurezza per i browser Chrome ed Edge, chiamata Application-Bound Encryption (ABE), per prevenire il furto di cookie e dati di autorizzazione. Tuttavia, i criminali informatici hanno trovato rapidamente il modo di aggirare questa protezione, il che ha portato a una nuova ondata di attività malware, come recentemente segnalato dagli esperti di Red Canary .

Diversi popolari infostealer, come Stealc, Vidar, LummaC2 e Meduza, si sono già adattati alle innovazioni. La tattica principale è utilizzare il debug remoto di Chromium tramite le opzioni di avvio del browser. Il malware crea nuove finestre nascoste del browser con accesso ai cookie, consentendo di recuperare i dati senza attirare l’attenzione dell’utente. Questo metodo viene utilizzato anche nelle nuove versioni di Remcos e Cryptbot.

Un altro approccio consiste nell’utilizzare la memoria dei processi in esecuzione. Utilizzando lo strumento ChromeKatz, gli aggressori scaricano la memoria del browser e ne estraggono i cookie. Questa tecnica non lascia tracce visibili per gli antivirus, ma richiede una corrispondenza esatta degli indirizzi in memoria, il che la rende vulnerabile ai cambiamenti nelle versioni di Chromium.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Un’altra soluzione alternativa consiste nell’interagire con le interfacce COM del browser. Alcuni malware, come Metastealer, utilizzano questa tecnica inserendo i propri file nella stessa directory di Chrome per aggirare i controlli di sicurezza integrati.

Gli aggressori hanno anche trovato un modo per aggirare l’ABE attraverso il registro di Windows. Modificando le chiavi dei criteri, possono disabilitare la protezione per tutti gli utenti del dispositivo. Ciò richiede diritti di amministratore, ma a giudicare dai risultati di VirusTotal, un approccio simile è già utilizzato attivamente.

Nonostante il promettente metodo di protezione abbia mostrato pochissima resistenza agli hacker, gli esperti di sicurezza consigliano comunque di aggiornare i browser alle versioni più recenti, poiché includono misure di protezione integrate che impediscono metodi di attacco obsoleti.

Inoltre, la disattivazione della crittografia associata all’applicazione può essere rilevata nel registro utilizzando i seguenti comandi di sistema, a seconda del browser utilizzato:

• Query reg.exe HKLM\Software\Policies\Google\Chrome /v ApplicationBoundEncryptionEnabled
• Query reg.exe HKLM\Software\Policies\Microsoft\Edge /v ApplicationBoundEncryptionEnabled

Se il valore della chiave è 0, ciò indica che la protezione è disabilitata.

È importante capire che in un panorama delle minacce informatiche in rapida evoluzione, le sole misure di sicurezza integrate nei browser non sono più sufficienti. Le aziende dovrebbero utilizzare attivamente strumenti di sicurezza avanzati, come sistemi di rilevamento delle minacce e analisi comportamentali, e formare regolarmente i dipendenti sulle questioni di sicurezza. Anche le più moderne tecnologie di sicurezza possono essere rapidamente hackerate se dietro ci sono aggressori esperti e motivati.

Il confronto tra sviluppatori di sicurezza e criminali informatici non è un processo statico, ma una corsa agli armamenti costante, dove vince chi si adatta più velocemente alle nuove sfide. È importante rimanere sempre un passo avanti e non fare affidamento solo sulle misure di sicurezza di base.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.