Un nuovo malware che ruba i cookie di Chrome è finito sotto la lente dei ricercatori di D3Lab, azienda che si occupa di sicurezza e privacy. La minaccia arriva tramite un allegato email che dà il via all’installazione del browser di Google, proprio in un momento in cui Chrome è già finito al centro delle cronache per 18 vulnerabilità appena scoperte. Il meccanismo è tanto semplice quanto insidioso, e chiunque può cascarci con una distrazione minima.
Come funziona la truffa via email
Il punto di partenza è un messaggio breve, scritto in italiano, che avvisa il destinatario di una fattura pronta per il download e firmata da uno studio contabile. Il documento sembrava un innocuo file PDF da 158 KB. Peccato che dietro quell’apparenza si nascondesse tutt’altro. Gli esperti hanno notato un dettaglio curioso, i numeri di fattura presenti nell’oggetto della mail, nel documento visualizzato e nel file JavaScript scaricato erano tutti diversi tra loro. Un segnale che, secondo gli analisti, potrebbe indicare valori generati in automatico per ogni messaggio o per ogni fase della campagna.
Una volta attivata, l’estensione e la sua applicazione nativa associata iniziano a raccogliere di tutto, i cookie del browser, le schede aperte, gli URL visitati, le impostazioni della lingua e persino i dati di fingerprinting. Un profilo completo della vittima, insomma, servito su un piatto d’argento.
La parte più preoccupante riguarda proprio i cookie di sessione autenticati. Con questi dati in mano, gli aggressori possono dirottare le sessioni attive del browser invece di limitarsi a rubare le password. E qui sta il vero problema, perché entrare direttamente in account già aperti significa aggirare l’autenticazione a più fattori, la famosa MFA che di solito rappresenta un muro difficile da superare.
Gli indicatori di compromissione
Chi vuole capire se il proprio dispositivo è stato colpito dal malware che ruba i cookie di Chrome può fare riferimento ad alcuni segnali precisi. L’allegato incriminato si presenta come Fattura-2819889242.pfd.js, mascherato però da Fattura-26189991026.pdf. Tra i file dannosi coinvolti figurano client_124578.exe, d3d11.dll e, all’interno di Chrome, un’estensione dal nome Cloud vn105rkj64 con ID gghagmhimhgfeajfdmjkgmmehbokmglg. Il dominio collegato alla campagna è ext2[.]info. Sono tutti dettagli tecnici, certo, ma tornano utili a chi vuole verificare in prima persona la presenza dell’infezione o segnalarla a chi si occupa della manutenzione dei sistemi.
Le contromisure per restare al sicuro
Difendersi da questo tipo di attacco non richiede competenze da esperto, bastano un po’ di attenzione e qualche buona abitudine. La regola numero uno resta sempre la stessa, mai aprire gli allegati email se non si conosce con certezza l’identità del mittente. E anche in quel caso, conviene verificare che l’indirizzo di provenienza sia davvero quello ufficiale.