Allarme Qilin, così ruba le credenziali da Google Chrome

Il mondo della sicurezza informatica è nuovamente sotto attacco. Questa volta, il bersaglio è stato Google Chrome.

Il gruppo Qilin, già noto per le sue attività legate al ransomware che porta lo stesso nome, ha adottato una nuova strategia per sottrarre credenziali di accesso a siti di terze parti salvate proprio all’interno del browser.

Questa mossa rappresenta un’escalation nelle tecniche di cyber-attacco e apre nuove preoccupazioni sulla sicurezza dei dati personali degli utenti.

Descrizione dell’attacco

L’attacco messo in atto dal gruppo Qilin si sviluppa attraverso fasi ben definite e particolarmente insidiose. Inizialmente, i cybercriminali guadagnano accesso alla rete vittima sfruttando un portale VPN privo di autenticazione multi-fattore, utilizzando credenziali precedentemente compromesse. Queste ultime sono spesso acquistate sul mercato nero da ciò che viene definito un Initial Access Broker (IAB), una figura chiave nell’economia del cybercrimine che facilita l’accesso non autorizzato a reti protette.

Una volta all’interno della rete, i malintenzionati effettuano una scansione per identificare e prendere di mira un controller di dominio critico. Successivamente modificano la policy predefinita implementando uno script PowerShell su tutti i computer collegati alla rete. Lo scopo dello script è raccogliere le credenziali memorizzate in Google Chrome ogni volta che un utente effettua il login.

Le informazioni raccolte vengono salvate in un file SQLite e trasferite in una directory appositamente creata nella condivisione SYSVOL prima dell’invio al server C2 (command and control) dei criminali informatici. Per minimizzare le possibilità di essere scoperti, le copie locali delle credenziali vengono eliminate.

Dopo aver esfiltrato con successo le credenziali degli utenti, gli attaccanti procedono con la fase finale dell’assalto: l’esecuzione del ransomware su tutti i dispositivi collegati al dominio compromesso. Ogni directory colpita riceve un file di testo contenente istruzioni specifiche per il pagamento del riscatto richiesto dai criminali informatici.

Queste azioni non solo mettono a rischio la sicurezza finanziaria delle organizzazioni colpite ma minacciano anche la privacy e l’integrità dei dati personali degli individui coinvolti.

Di fronte a questa nuova minaccia, gli esperti di Sophos suggeriscono alcune misure preventive fondamentali per proteggere sia le reti aziendali sia i dati personali degli utenti individuali. Al primo posto c’è l’adozione dell’autenticazione multi-fattore (MFA) per tutti gli account possibili come strumento efficace contro questo tipo d’intrusione.

Inoltre, viene fortemente consigliato evitare la memorizzazione delle proprie credenziali direttamente nei browser internet; piuttosto si dovrebbe optare per l’utilizzo di password manager dedicati e sicuri – preferibilmente quelli non connessi ad Internet – capaci di offrire una maggiore protezione attraverso sistemi avanzati di crittografia dei dati.