I ricercatori di D3Lab, azienda di soluzioni per la sicurezza e la privacy, hanno scoperto un pericoloso malware che ruba i cookie di Chrome per prendere il controllo dei tuoi account. Nello specifico, si tratta di un allegato email che avvia il processo di installazione del famoso browser di Google che, in questi giorni, è stato al centro dell’attenzione per 18 vulnerabilità scoperte.
“La campagna ha utilizzato un breve messaggio scritto in italiano. Informava il destinatario che la fattura richiesta era pronta per il download e firmata da uno studio contabile. Il documento visibile era presentato come un file PDF di 158 KB“, hanno spiegato gli esperti. “I numeri di fattura presenti nell’oggetto dell’e-mail, nel documento visualizzato e nel file JavaScript scaricato erano diversi. Ciò potrebbe indicare che i valori sono stati generati automaticamente per ciascun messaggio o fase della campagna“.
Malwarebytes ha anche specificato che “una volta attivata, l’estensione e la sua applicazione nativa associata raccolgono i cookie del browser, le schede aperte, gli URL, le impostazioni della lingua e i dati di fingerprinting“. Il procedimento è molto pericoloso.
Grazie ai cookie di sessione autenticati sottratti, gli aggressori possono dirottare le sessioni attive del browser anziché limitarsi a rubare le password; ciò risulta loro più utile in quanto consente loro di accedere agli account già aperti sul browser della vittima, aggirando l’autenticazione a più fattori (MFA).
Gli indicatori di infezione del malware che ruba i cookie di Chrome
Vediamo quindi gli indicatori di compromissione del malware che sta rubando i cookie di Chrome.
- Allegato:
- Fattura-2819889242.pfd.js (visualizzato come Fattura-26189991026.pdf)
- File dannosi:
- client_124578.exe
- d3d11.dll
- Chrome :
- Nome: Cloud vn105rkj64
- ID: gghagmhimhgfeajfdmjkgmmehbokmglg
- Dominio:
- ext2[.]info
Come rimanere al sicuro
Se vuoi proteggerti dal malware che ruba i cookie di Chrome la prima cosa che devi fare è non aprire mai gli allegati delle email a meno che tu non conosca l’identità del mittente, dopo aver verificato l’ufficialità dell’indirizzo email del mittente. Inoltre, è fondamentale controllare l’estensione reale del file invece di affidarti al nome visualizzato.