Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Redazione RHC : 9 Dicembre 2024 10:11
Gli esperti di Mandiant hanno scoperto un nuovo metodo per aggirare le tecnologie di isolamento del browser che consente agli aggressori di organizzare le comunicazioni C2 utilizzando i codici QR. Questa scoperta dimostra le vulnerabilità nei moderni sistemi di sicurezza dei browser.
La tecnologia di isolamento del browser è progettata per migliorare la sicurezza instradando tutte le richieste del browser locale su browser remoti in esecuzione nel cloud o in macchine virtuali. Qualsiasi codice sui siti visitati viene eseguito da remoto e solo l’immagine visiva della pagina viene trasferita al dispositivo locale.
Tuttavia, Mandiant ha trovato un modo per aggirare questa protezione. Il nuovo metodo utilizza i codici QR per trasmettere comandi. La visualizzazione visiva di un codice QR su una pagina aggira l’isolamento del browser, consentendo al malware presente sul dispositivo infetto di leggerne e decodificarne il contenuto.
Sei un Esperto di Formazione?
Entra anche tu nel Partner program!
Accedi alla sezione riservata ai Creator sulla nostra Academy e scopri i vantaggi riservati ai membri del Partner program.
Per ulteriori informazioni, scrivici ad [email protected] oppure su Whatsapp al 379 163 8765
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
L’esperimento Mandiant ha mostrato un riuscito bypass della protezione sulla versione attuale di Google Chrome. I ricercatori hanno utilizzato Cobalt Strike, un popolare strumento di test di penetrazione, per eseguire questo attacco.
Tuttavia, il metodo ha i suoi limiti. Innanzitutto, la dimensione dei dati trasmessi tramite codici QR è limitata a 2.189 byte, il che rende difficile la trasmissione di grandi quantità di informazioni. In secondo luogo, l’elevato ritardo tra le richieste rende il metodo lento: circa 438 byte al secondo. Ciò rende la tecnica inadatta ad attacchi su larga scala come il proxy SOCKS.
Inoltre, Mandiant sottolinea che ulteriori misure di sicurezza come il controllo della reputazione del dominio, la scansione degli URL e la prevenzione della fuga di dati potrebbero bloccare questo metodo.
Tuttavia, nonostante una serie di restrizioni, la minaccia rimane reale.
Gli amministratori dei sistemi critici sono incoraggiati a monitorare attentamente il traffico anomalo e a utilizzare meccanismi di protezione per rilevare i browser automatizzati sulla rete.
RedazioneNegli ultimi giorni, il collettivo hacktivista italiano Anonymous Italia ha risposto agli attacchi informatici sferrati dal gruppo filorusso NoName057(16) colpendo una serie di obiettivi russi. Gli at...
Gruppo di ricerca MASSGRAVE ha presentato un Exploit chiamato TSforge che consente di attivare qualsiasi versione di Windows a partire da Windows 7, nonché tutte le edizioni di Microsof...
Su BreachForum un utente dallo pseudonimo EDRVendor ha venduto, dopo poche ore dall’annuncio, l’accesso ad una cassetta postale della polizia di stato italiana. Oltre alla mail viene off...
Team di intelligence sulle minacce di Google ha reso pubblica l’informazione sul gruppo di hacker Triplestrength, finora sconosciuto, attivo dal 2020. Il gruppo è composto da poc...
I canali Telegram degli hacker filorussi di NoName057(16) sono stati eliminati da telegram. Ma subito gli attivisti ricreano nuovi canali marchiati con il suffisso “reborn“. Ma...
Copyright @ 2003 – 2024 REDHOTCYBER Srl
PIVA 17898011006
