Codici QR usati per eludere l'isolamento del browser, rischio alla sicurezza
L'isolamento del browser può essere facilmente aggirato con i codici QR, avvertono gli esperti
- L'isolamento del browser esegue tutti gli script in un ambiente remoto o virtuale, ma i codici QR riescono comunque a passare.
- Se un dispositivo è infettato da malware, può ricevere comandi tramite codici QR, rendendo inutile l'isolamento del browser.
- Il metodo funziona, ma ha i suoi limiti
I ricercatori di cybersecurity di Mandiant sostengono di aver scoperto un nuovo metodo per far comunicare il malware con i suoi server C2 anche quando il browser della vittima è isolato in una sandbox. Esiste una tecnica relativamente nuova per proteggere dai cyberattacchi veicolati dal web, nota come "isolamento del browser". In questo approccio, il browser della vittima comunica con un altro browser situato in un ambiente cloud o in una macchina virtuale. Tutti i comandi impartiti dalla vittima vengono trasmessi al browser remoto, mentre ciò che ottiene in cambio è solo il rendering visivo della pagina. Codice, script e comandi vengono eseguiti sul dispositivo remoto. Si può pensare a questo processo come navigare attraverso l'obiettivo della fotocamera di un telefono.
Limiti e svantaggi
Ma ora Mandiant ritiene che i server C2 (command & control) possano ancora comunicare con il malware sul dispositivo infetto, indipendentemente dall'impossibilità di eseguire codice attraverso il browser, cioè tramite i codici QR. Se un computer è infetto, il malware è in grado di leggere i pixel visualizzati sullo schermo e, se si tratta di un codice QR, questo è sufficiente per far eseguire al programma diverse azioni. Mandiant ha preparato un proof-of-concept (PoC) che mostra il funzionamento del metodo sull'ultima versione di Google Chrome, inviando il malware attraverso la funzione C2 esterna di Cobalt Strike.
Il metodo funziona, ma è tutt'altro che ideale, aggiungono i ricercatori. Poiché il flusso di dati è limitato a un massimo di 2.189 byte e la latenza è di circa 5 secondi, il metodo non può essere utilizzato per inviare payload di grandi dimensioni o per facilitare il proxying SOCKS. Inoltre, misure di sicurezza aggiuntive come la scansione degli URL o la prevenzione della perdita di dati possono rendere questo metodo completamente inutile.
Tuttavia, ci sono modi in cui il metodo potrebbe essere abusato per eseguire attacchi malware distruttivi. Pertanto, si consiglia ai team IT di tenere sotto controllo il flusso di traffico, in particolare quello proveniente dai browser headless in modalità di automazione.
Via BleepingComputer
Sei un professionista? Iscriviti alla nostra Newsletter
Iscriviti alla newsletter di Techradar Pro per ricevere tutte le ultime notizie, opinioni, editoriali e guide per il successo della tua impresa!
Nato nel 1995 e cresciuto da due genitori nerd, non poteva che essere orientato fin dalla tenera età verso un mondo fatto di videogiochi e nuove tecnologie. Fin da piccolo ha sempre esplorato computer e gadget di ogni tipo, facendo crescere insieme a lui le sue passioni. Dopo aver completato gli studi, ha lavorato con diverse realtà editoriali, cercando sempre di trasmettere qualcosa in più oltre alla semplice informazione. Amante del cioccolato fondente, continua a esplorare nuove frontiere digitali, mantenendo sempre viva la sua curiosità e la sua dedizione al settore.