Info stealer

Google e il malware che abusa delle API: come mitigare il rischio

Il motore di ricerca Google minimizza, rassicurando che il malware che abusa delle API è un furto di token standard, e non un problema di API. Ma la scoperta di un endpoint non documentato apre a scenari preoccupanti. Ecco perché e come proteggersi

Pubblicato il 08 Gen 2024

Mirella Castigli

Giornalista

Google minimizza le segnalazioni di malware che abusano di un’API non documentata di Google Chrome per generare nuovi cookie di autenticazione quando quelli precedentemente rubati sono scaduti.

A fine novembre 2023, BleepingComputer ha scoperto due operazioni di malware per il furto di informazioni, denominate Lumma e Rhadamanthys, che sostenevano di poter ripristinare i cookie di autenticazione di Google scaduti e rubati durante gli attacchi.

Questi cookie potrebbero quindi essere caricati nei browser degli attori delle minacce per ottenere l’accesso agli account Google di un utente infetto.

“La scoperta da parte dell’azienda CloudSEK della modalità con la quale un exploit integrato in diversi malware riesce a compromettere gli account di ignari utenti”, commenta Pierluigi Paganini, analista di cyber security e CEO Cybhorus, “è preoccupante soprattutto per la rapida diffusione dello stesso nell’underground criminale. Parliamo di un endpoint OAuth di Google non documentato e denominato MultiLogin”.

Il motore di ricerca rassicura che il malware che abusa delle API è un furto di token standard e non un problema di API.

Ecco cosa sappiamo.

Google: rassicura sul malware che abusa delle API

Da allora altri quattro information stealer hanno adottato la stessa tecnica, tra cui Stealc il 1° dicembre, Medusa l’11 dicembre, RisePro il 12 dicembre e Whitesnake il 26 dicembre.

WHITEPAPER
Basta incidenti in università: scopri il tuo nuovo sistema di controllo accessi
Cybersecurity
Network Security

La scorsa settimana, la società di cybersicurezza CloudSEK ha rivelato che queste operazioni di malware per il furto di informazioni stanno abusando di un endpoint API “MultiLogin” di Google OAuth per generare nuovi cookie di autenticazione funzionanti quando i cookie originali di Google rubati dalle vittime scadono.

“La scoperta di un end point non documentato apre a scenari preoccupanti, innanzitutto perché la non conoscenza pubblica del meccanismo ne impedisce la difesa di attacchi condotti con l’exploit citato. Solo l’azienda che lo ha sviluppato è in grado di prevedere abusi dell’endpoint ed è sua responsabilità evitare che avvengano”, spiega Paganini.

Si ritiene che questa API sia stata progettata per sincronizzare gli account tra diversi servizi Google accettando un vettore di ID account e token di autenticazione.

“Ad aggravare la situazione”, continua Paganini, “è il fatto che l’endpoint MultiLogin è parte del meccanismo interno che consente la sincronizzazione degli account Google tra servizi. Questo endpoint inoltre consente la creazione di nuovi token di autenticazione e di aggiornare persino quelli scaduti con ovvie ripercussioni sui meccanismi di sicurezza”.

I tentativi di BleepingComputer di ottenere maggiori informazioni su questa API da Google non hanno inoltre avuto successo e l’unica documentazione si trova nel codice sorgente di Google Chrome

La scoperta di CloudSEK

Il ricercatore di CloudSEK Pavan Karthick ha dichiarato a BleepingComputer che il malware che ruba le informazioni abusando di questa funzione ora ruberà più token da Google Chrome.

Questi token includono tutti i cookie di autenticazione per i siti Google e un token speciale che può essere utilizzato per aggiornare, o generare, nuovi token di autenticazione.

Poiché i normali cookie di autenticazione scadono dopo un certo periodo di tempo, alla fine diventano inutilizzabili per l’attore della minaccia.

Tuttavia, finché l’utente non si è disconnesso da Google Chrome o non ha revocato tutte le sessioni associate ai suoi account, gli attori delle minacce possono utilizzare questo speciale token “Refresh” per generare nuovi token di autenticazione quando i precedenti sono scaduti.

Questi nuovi token consentono loro di continuare ad accedere agli account per un periodo di tempo molto più lungo di quello normalmente consentito.

Come proteggersi

Purtroppo, Google considera questo abuso di API come un normale furto di cookie basato su malware. “Google è a conoscenza delle recenti segnalazioni di una famiglia di malware che ruba i token di sessione”, ha dichiarato il motore di ricerca la scorsa settimana a BleepingComputer.

“Gli attacchi che coinvolgono malware che rubano cookie e token non sono nuovi; aggiorniamo regolarmente le nostre difese contro queste tecniche e per proteggere gli utenti che cadono vittime di malware. In questo caso, Google ha preso provvedimenti per mettere in sicurezza tutti gli account compromessi individuati“.

Tuttavia, fonti che hanno familiarità con questo problema hanno dichiarato a BleepingComputer che Google ritiene che l’API funzioni come previsto e che nessuna vulnerabilità venga sfruttata dal malware.

La soluzione di Google a questo problema consiste semplicemente nel far uscire gli utenti dal browser Chrome dal dispositivo interessato o nel chiudere tutte le sessioni attive tramite g.co/mydevices. In questo modo si invalida il token Refresh e lo si rende inutilizzabile con l’API.

Infatti “ad oggi l’unica possibilità è quella di rendere invalidi i token di aggiornamento per l’utilizzo con l’EndPoint“, mette in guardia Paganini.

Le raccomandazioni: Google nel mirino di un malware che abusa delle API

Poiché il malware ha rubato le vostre credenziali, sarebbe necessario anche cambiare la vostra password di Google per prudenza, soprattutto se l’utentev ha la cattiva abitudine di usare le stesse credenziali in altri siti.

“Nel frattempo, gli utenti dovrebbero continuare a rimuovere qualsiasi malware dal proprio computer e si consiglia di attivare la funzione Enhanced Safe Browsing in Chrome per proteggersi dal phishing e dai download di malware“, raccomanda inoltre Google.

I dubbi aperti

Sebbene questi suggerimementi riducano l’impatto delle infezioni da malware che rubano informazioni, la maggior parte delle persone infettate da questo tipo di malware non saprà quando eseguire questi passaggi.

Quando le persone vengono infettate da malware che rubano informazioni, in genere non se ne accorgono finché i loro account non vengono acceduti senza autorizzazione e abusati in qualche modo rilevabile.

Per esempio, un dipendente di Orange España, il secondo provider di telefonia mobile iberico, ha subito il furto delle password da un info stealer. Tuttavia, nessuno se n’è accorto finché le credenziali sono state utilizzate per accedere all’account RIPE dell’azienda e modificare la configurazione BGP. Ciò ha causato un calo delle prestazioni del 50% e interruzioni di Internet per i clienti di Orange.

Sebbene Google affermi di aver individuato le persone colpite da questo abuso di API e di averle informate, ci si domanda cosa succederà alle vittime future.

Inoltre, ci si chiede come faranno gli utenti a sapere che devono uscire dal browser per invalidare i token di autenticazione senza sapere nemmeno dell’infezione.

Per questo motivo, una soluzione migliore sarebbe quella di limitare l’accesso a questa API in qualche modo da evitare abusi da parte delle operazioni di malware-as-a-service. Purtroppo, non sembra che ciò stia accadendo. BleepingComputer ha chiesto a Google quali piani abbia per mitigare l’abuso di questa API, ma non ha ricevuto risposta.

“Il caso pone forti dubbi sull’implementazione di funzioni e meccanismi di sicurezza che non documentati sono comunque individuabili da attori malevoli attraverso il reverse engineering del codice sorgente dell’applicazione presa di mira“, conclude Paganini:  “I processi di reverse engineering sono frequenti soprattutto da parte di attori molto motivati o addirittura nation-state actor, per questo motivo la soluzione di non documentare porzioni di codice e funzioni è tutt’altro che auspicabile“.

WEBINAR
14 Marzo 2024 - 12:00
GenAI e Security Operation: perché diventerà una integrazione inevitabile? Il parere degli esperti
Robotica
Machine Learning
@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Speciale PNRR

Tutti
Incentivi
Salute digitale
Formazione
Analisi
Sostenibilità
PA
Sostemibilità
Sicurezza
Digital Economy
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articolo 1 di 2