Un ricercatore di sicurezza indipendente ha creato un tool che permette di rubare i cookie di autenticazione e quindi di accedere agli account delle vittime. WebView2 Cookie Stealer – così si chiama l’attacco basato sul social engineering – sfrutta la tecnologia WebView2 di Microsoft Edge e il comune phishing per ottenere il controllo dell’account anche se protetto dall’autenticazione multi-fattore.
L’autenticazione a due fattori
L’autenticazione a due fattori o 2FA, si basa sull’utilizzo congiunto di due metodi di autenticazione individuali, in genere su due canali. Un esempio è quando, per accedere al conto corrente, oltre ai propri ID e password, si usa una one-time password o OTP, cioè un codice usabile una volta sola inviato all’utente o generato attraverso un token.
Si tratta di un notevole ostacolo al remunerativo furto di credenziali di accesso e i cyber criminali cercano sempre nuovi metodi per bypassarla. Il ricercatore mr.d0x ha creato un nuovo metodo di phishing che permette di rubare facilmente le credenziali di autenticazione e fare il login anche in account protetti con la 2FA.
Sembra un’app WebView2, invece è phishing
Con l’attacco WebView2-Cookie-Stealer, il pirata porta la vittima a lanciare un eseguibile WebView2 che apre una pagina di login a un sito legittimo all’interno dell’applicazione.
Come specifica il ricercatore nel suo blog, WebView2 permette di integrare tecnologie Web come HTML, CSS e JavaScript nelle app native e si può usare per creare eseguibili che comunicano con le applicazioni come se fossero dei browser. In questo modo, le app possono caricare un qualsiasi sito e far sembrare che sia aperto in Microsoft Edge.
WebView2 consente inoltre agli sviluppatori di accedere direttamente ai cookie e iniettare JavaScript nella pagina caricata dall’applicazione. Nel caso dell’eseguibile di mr.d0x, queste caratteristiche vengono sfruttate per inviare tutto ciò che la vittima scrive al server dell’autore dell’attacco.
Il codice accede inoltre alla cartella User Data Folder (UDF) di Chrome, che contiene tutte le password, le sessioni e i segnalibri dell’utente, e usa l’interfaccia ICoreWebView2CookieManager di WebView2 per esportare i cookie dei siti all’autenticazione e inviarli al server del pirata.
L’attacco bypassa la 2FA, perché i cookie sono rubati dopo che l’hanno superata e rimangono validi fino al termine della sessione.
Una cartella di dati
Quindi di fatto, il vero punto di forza di questo tipo di applicazioni è la sua capacità di rubare tutti i cookie inviati dal server remoto dopo il login di un utente, compresi i cookie di autenticazione.
Una volta che l’attaccante ha decodificato i cookie con codifica base64, ha pieno accesso ai cookie di autenticazione per il sito Web e può utilizzarli per accedere a un account utente.
Lo sfruttamento di questa vulnerabilità è tuttavia limitato, poiché le vittime devono prima caricare un programma eseguibile, che l’hacker utilizza quindi per avviare l’accesso. Questo potrebbe anche accadere inosservato, ad esempio tramite allegati di posta elettronica, download casuali da Internet, crack e warez o trucchi di gioco.
“Questa tecnica di ingegneria sociale richiede che un utente malintenzionato convinca un utente a scaricare ed eseguire un’applicazione dannosa”, ha detto Microsoft a BleepingComputer in una dichiarazione sulla nuova tecnica. Microsoft consiglia: “Incoraggiamo gli utenti a praticare abitudini informatiche sicure, evitare di eseguire o installare applicazioni da fonti sconosciute o non attendibili e mantenere aggiornato Microsoft Defender (o altro software anti-malware)”.
.
Conclusione
Attenzione, quindi, ai programmi di terze parti che richiedono l’accesso ad account Microsoft, Google, Facebook, Dropbox e così via: presentandosi come in questa immagine essi possono raccogliere credenziali di autenticazione e altri dati personali.
Convincere qualcuno a eseguire un’applicazione richiede ulteriore lavoro per un criminale informatico. Per questo motivo tutti i normali consigli in tema di sicurezza informatica rimangono gli stessi: non aprire allegati sconosciuti, scansionare tutti i file scaricati da Internet e astenersi dall’inserire le proprie credenziali in qualunque applicazione a meno che non sia assolutamente certi circa il fatto che il programma sia legittimo.