Redazione RHC : 8 Gennaio 2024 10:40
Alla fine di dicembre 2023 abbiamo scritto dell’abuso dell’API di Google Chrome non documentata da parte di software dannoso. Si noti che due operazioni di furto di dati, Lumma e Rhadamanthys , utilizzano le API per recuperare le credenziali di Google rubate durante gli attacchi.
In seguito a questo rapporto, anche altri quattro programmi ransomware – Stealc, Medusa, RisePro e Whitesnake – hanno iniziato a utilizzare una tecnica simile. La società di sicurezza CloudSEK ha scoperto che il malware utilizza l’API OAuth “MultiLogin” di Google. Tale utilizzo permette la creazione di nuovi cookie di autenticazione quando i cookie Google originali rubati dalla vittima scadono.
Questa API è progettata per sincronizzare gli account di diversi servizi Google. Il malware non ruba solo i cookie di autenticazione per i siti Google. Ruba anche un token speciale che può essere utilizzato per aggiornare o creare nuovi token di autenticazione.
I ricercatori non sono riusciti a trovare ulteriori informazioni su questa API da Google. L’unica documentazione può essere trovata nel codice sorgente di Google Chrome.
Scarica Gratuitamente Byte The Silence, il fumetto sul Cyberbullismo di Red Hot Cyber
«Il cyberbullismo è una delle minacce più insidiose e silenziose che colpiscono i nostri ragazzi. Non si tratta di semplici "bravate online", ma di veri e propri atti di violenza digitale, capaci di lasciare ferite profonde e spesso irreversibili nell’animo delle vittime. Non possiamo più permetterci di chiudere gli occhi».
Così si apre la prefazione del fumetto di Massimiliano Brolli, fondatore di Red Hot Cyber, un’opera che affronta con sensibilità e realismo uno dei temi più urgenti della nostra epoca.
Distribuito gratuitamente, questo fumetto nasce con l'obiettivo di sensibilizzare e informare. È uno strumento pensato per scuole, insegnanti, genitori e vittime, ma anche per chi, per qualsiasi ragione, si è ritrovato nel ruolo del bullo, affinché possa comprendere, riflettere e cambiare.
Con la speranza che venga letto, condiviso e discusso, Red Hot Cyber è orgogliosa di offrire un contributo concreto per costruire una cultura digitale più consapevole, empatica e sicura.
Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Google nel suo comunicato conferma di essere a conoscenza della situazione, ma tratta il problema come un semplice furto di cookie tramite malware. L’azienda afferma di aggiornare regolarmente i suoi meccanismi di protezione e di aiutare gli utenti colpiti da malware.
Google consiglia agli utenti di disconnettersi dal proprio account Chrome sui dispositivi e di invalidare le sessioni attive tramite il menu I miei dispositivi. Questa operazione renderà il token di aggiornamento non valido per l’utilizzo con l’API. Inoltre Google consiglia di modificare la password, soprattutto se è stata utilizzata su altri siti.
Tuttavia, molti utenti interessati non sanno quando e come adottare le misure suggerite. Spesso vengono a conoscenza dell’infezione solo dopo che i loro account sono stati violati e utilizzati in modo improprio. Un esempio è il caso di un dipendente di Orange Spain, dove l’infezione è diventata nota solo dopo aver utilizzato credenziali rubate per accedere all’account aziendale e aver modificato la sua configurazione BGP, causando interruzioni nei servizi Internet.
Google sta attualmente avvisando le vittime dell’abuso dell’API. Rimangono domande su come verranno avvisate le future vittime e su come sapranno di uscire dal browser per revocare i token di autenticazione.
Molti esperti ritengono che la soluzione migliore sarebbe limitare l’accesso alle suddette API per impedirne lo sfruttamento. Tuttavia, al momento non ci sono informazioni che Google intenda adottare tali misure. Google non ha risposto alle domande sui suoi piani per combattere l’abuso delle API.
RedazionePer decenni abbiamo celebrato il digitale come la promessa di un futuro più connesso, efficiente e democratico. Ma oggi, guardandoci intorno, sorge una domanda subdola e inquietante: e se fossimo...
Per quanto riguarda i compiti banali che i robot umanoidi potrebbero presto svolgere per noi, le possibilità sono ampie. Fare il bucato è probabilmente in cima alla lista dei desideri di mol...
Domenica scorsa, Red Hot Cyber ha pubblicato un approfondimento sull’aumento delle attività malevole da parte del ransomware AKIRA, che sembrerebbe sfruttare una vulnerabilità 0-day n...
Cisco, uno dei principali attori globali nel settore delle infrastrutture di rete e della sicurezza informatica, ha recentemente comunicato di essere stata vittima di un incidente di sicurezza. Fondat...
Sono state scoperte vulnerabilità critiche nel Triton Inference Server di NVIDIA, che minacciano la sicurezza dell’infrastruttura di intelligenza artificiale su Windows e Linux. La soluzio...
