I cybercriminali non risparmiano nessuno, neppure in occasione delle festività natalizie. Proprio in queste ultime ore, infatti, le riviste di sicurezza informatica hanno segnalato che alcuni criminali informatici sono riusciti a infettare diverse estensioni di Chrome con stringhe di codice dannoso, dopo aver ottenuto l’accesso agli account di governo del browser attraverso una campagna di phishing – precedente a questa -. La prima segnalazione è arrivata dalla società di cybersicurezza Cyberhaven che, in una nota pubblicata sul suo blog, ha dichiarato che il 24 dicembre la sua estensione Chrome è stata compromessa in un attacco mirato a “specifici accessi alla pubblicità sui social media e alle piattaforme di intelligenza artificiale”.
X content
This content can also be viewed on the site it originates from.
In un’analisi tecnica ben dettagliata, la compagnia ha ricostruito l’iter seguito dai criminali per iniettare il codice dannoso nelle estensioni di Chrome delle aziende colpite. Come anticipato, tutto è cominciato con l’invio di un’email malevola agli sviluppatori delle suddette società: seguendo le indicazioni, questi sono stati portati a installare sul loro dispositivo aziendale l’app dannosa Privacy Policy Extension, che i criminali hanno utilizzato per impossessarsi delle credenziali necessarie per caricare “un’estensione Chrome dannosa sul Chrome Web Store”. Nello specifico, pare che l’estensione eseguisse il codice dannoso solo quando gli utenti navigavano la piattaforma Facebook.com, così da poter esfiltrare dati come l’ID fruitore, le informazioni dei suoi account pubblicitari e molto altro ancora.
“Dopo aver inviato con successo tutti i dati al server [Command & Control], l’ID fruitore di Facebook viene salvato nella memoria del browser – si legge nella nota di Cyberhaven -. “L’ID fruitore viene quindi utilizzato negli eventi di clic del mouse per aiutare gli aggressori con l’autenticazione a due fattori, se necessario”. Insomma, in modo del tutto subdolo, i criminali sono riusciti a infiltrarsi nei sistemi delle aziende, così da mettere le mani su dati preziosi. Secondo quanto riferito, la compagnia ha fortunatamente individuato e rimosso il codice dannoso nella giornata del 25 dicembre, per poi comunicare l’attacco ai suoi clienti il giorno seguente, suggerendo loro di modificare le credenziali utilizzate per Facebook. Tutto è bene quel che finisce bene, quindi.
Anche se Cyberhaven ha suggerito ai suoi clienti di assumere comportamenti più inclini alla sicurezza – come la rotazione delle password per gli account che non utilizzano l’autenticazione a due fattori – per impedire di rimanere vittime di criminali e truffatori. Un accorgimento più che giusto, considerate le minacce che incombono sui sistemi aziendali, e non solo.
Leggi tutto su www.wired.it
di Chiara Crescenzi www.wired.it 2024-12-30 11:02:00 ,
