Malware ruba i cookie della sessione di Chrome per rubare i tuoi account
Se usi Chrome per navigare online, è fondamentale sapere che un nuovo malware può rubare i tuoi account in pochi secondi. Questo attacco avviene tramite un’estensione dannosa installata da un campagna di phishing che inganna l’utente. Il risultato è la perdita del controllo dei tuoi account e la compromissione del tuo dispositivo Windows. La soluzione immediata e più efficace è aggiornare immediatamente Chrome alla versione 146 o superiore ed evitare di installare qualsiasi estensione da sviluppatori non verificabili. Se hai già installato estensioni, controlla subito la loro origine e rimuovi quelle non necessarie. Non aspettare che l’hacker ti ruba i dati: agisci ora proteggendo la tua sessione.
Come funziona l’attacco “Cookie-Bite”
Gli ricercatori di sicurezza hanno identificato un nuovo tipo di attacco chiamato “Cookie-Bite”, che sfrutta le estensioni di Chrome per rubare i token di sessione. Invece di attaccare direttamente il sito web, il malware si insidia nel browser e ruba i cookie che il sito utilizza per riconoscere che sei l’utente legittimo. Questi cookie sono come le chiavi digitali che ti permettono di accedere ai tuoi account senza dover reinserire la password. Quando un hacker ruba questi cookie, può usarli per accedere ai tuoi account da un altro dispositivo, simulando la tua presenza.
Il processo inizia con un’email o un messaggio che sembra legittimo, contenente un link a un’estensione di Chrome. L’utente, pensando di migliorare il browser, installa l’estensione. In realtà, questa estensione contiene codice dannoso che, una volta attivata, inizia a cercare i cookie di sessione nel browser. Il malware può rubare i cookie di account popolari come quelli di Google, Facebook, Amazon e molti altri servizi online. Una volta che il hacker ha i cookie, può accedere ai tuoi account in pochi secondi, anche se hai una password complessa o l’autenticazione a due fattori, perché il cookie stesso è già la prova che sei l’utente autorizzato.
I rischi per la sicurezza dei tuoi dati
Quando un hacker riesce a rubare i cookie della sessione, i rischi sono estremamente gravi. Il primo è la perdita del controllo dei tuoi account personali e professionali. Potresti vedere le tue email, le tue foto, i tuoi documenti e le tue informazioni finanziarie esposte a occhi indiscreti. In alcuni casi, l’hacker può anche modificare le tue password, bloccando l’accesso ai tuoi account e rendendo impossibile la recupero.
Un altro rischio è la compromissione dei dispositivi Windows. Il malware può installare altri programmi dannosi sul tuo computer, come ransomware che blocca l’accesso ai tuoi file, o spyware che registra tutto ciò che fai sul dispositivo. Questo può includere la registrazione delle tue password, dei tuoi dati bancari e delle tue informazioni personali. Inoltre, il malware può usare il tuo dispositivo per inviare email dannose a altri utenti, diffondendo il virus a più persone.
La nuova protezione di Chrome: Device Bound Session Credentials
Google ha risposto a questo attacco con una nuova protezione chiamata Device Bound Session Credentials (DBSC), disponibile dalla versione 146 di Chrome per Windows. Questa protezione è rivoluzionaria perché lega il cookie della sessione al dispositivo fisico su cui hai effettuato l’accesso. Invece di fidarsi solo del cookie, Chrome ora verifica che il cookie sia stato generato sul dispositivo specifico. Se un hacker ruba il cookie e lo usa su un altro dispositivo, il server lo rifiuta perché non corrisponde al dispositivo originale.
Il principio è semplice: il cookie non è più sufficiente per accedere all’account. Deve essere accompagnato dalla chiave privata del dispositivo, che è unica e non può essere copiata. Questo significa che, anche se un hacker riesce a rubare il cookie, non può usarlo su un altro dispositivo perché non ha la chiave privata. Il server rifiuta la connessione e la sessione termina.
La protezione DBSC è ora disponibile per tutti gli utenti di Chrome 146 per Windows, con il supporto per macOS che arriverà presto. È importante notare che questa protezione non influisce sull’esperienza dell’utente: non devi fare nulla, Chrome gestisce tutto automaticamente. Inoltre, la protezione è già attiva per tutti i clienti di Google Workspace e per gli utenti con account personali di Google. Gli amministratori di Google Workspace non possono disabilitare questa protezione, garantendo che tutti i dipendenti siano protetti.
Cosa devi fare subito per proteggere i tuoi account
Per proteggere i tuoi account da questo attacco, devi agire immediatamente. Il primo passo è aggiornare Chrome alla versione 146 o superiore. Se non sei sicuro della versione, vai su Chrome, poi su Settings, Help, e About Google Chrome. Se non sei sulla versione 146 o superiore, aggiornalo subito.
Il secondo passo è verificare che il tuo dispositivo Windows abbia il chip TPM attivo. Questo chip è necessario per la protezione DBSC. Se sei su Windows 11, il tuo dispositivo quasi certamente ha il chip TPM. Se sei su un vecchio dispositivo o Windows 10, consulta le specifiche del produttore per verificare. Puoi anche eseguire il comando PowerShell “Get-Tpm” per verificare se il chip TPM è attivo.
Il terzo passo è evitare di installare estensioni di Chrome da sviluppatori non verificabili. Se hai già installato estensioni, controlla subito la loro origine e rimuovi quelle non necessarie o non verificabili. La mia raccomandazione è evitare di usare qualsiasi estensione, a meno che non sei assolutamente sicuro di poter fidare dello sviluppatore.
Infine, per i proprietari di aziende e gli responsabili IT, è importante aggiungere questo alla prossima riunione del team: verificare che tutti i dipendenti siano su Chrome 146 o superiore, chiedere al responsabile IT di verificare che il TPM sia attivo sui dispositivi Windows, e tenere d’occhio le annunci dalle principali app aziendali per il supporto DBSC.
La tua soluzione in una linea: aggiorna Chrome, verifica che il tuo hardware abbia un chip TPM, e sentiti sicuro che presto molti siti web impediranno che i cookie rubati funzionino, bloccando gli attacchi di furto di cookie della sessione. I Cookie Monsters saranno spariti!
Technical Deep Dive
Meccanismo di attacco “Cookie-Bite”
L’attacco “Cookie-Bite” sfrutta le estensioni di Chrome per rubare i token di sessione. Il processo inizia con l’installazione di un’estensione dannosa che, una volta attivata, cerca i cookie di sessione nel browser. Il malware può rubare i cookie di account popolari come quelli di Google, Facebook, Amazon e molti altri servizi online. Una volta che il hacker ha i cookie, può accedere ai tuoi account in pochi secondi, anche se hai una password complessa o l’autenticazione a due fattori.
Il malware può anche rubare i cookie di account aziendali, permettendo l’accesso ai dati sensibili dell’azienda. Questo può includere le email, i documenti, le informazioni finanziarie e le informazioni personali dei dipendenti. In alcuni casi, il malware può anche modificare le password, bloccando l’accesso agli account e rendendo impossibile il recupero.
Implementazione di Device Bound Session Credentials (DBSC)
La protezione DBSC è implementata attraverso l’uso del chip TPM (Trusted Platform Module) del dispositivo. Il chip TPM genera una chiave privata unica che è legata al dispositivo. Quando il cookie della sessione è generato, Chrome lo lega alla chiave privata del dispositivo. Se un hacker ruba il cookie e lo usa su un altro dispositivo, il server lo rifiuta perché non corrisponde al dispositivo originale.
L’implementazione di DBSC richiede che il dispositivo abbia il chip TPM attivo. Se il dispositivo non ha il chip TPM, la protezione non è attiva. Per verificare se il chip TPM è attivo, puoi eseguire il comando PowerShell “Get-Tpm”. Se il chip TPM è attivo, la protezione DBSC è attiva.
Limitazioni di DBSC
DBSC non protegge i cookie di sessione già esistenti. La protezione è attiva solo per le sessioni nuove create dopo che DBSC è attivo. Questo significa che i cookie di sessione rubati prima dell’attivazione di DBSC possono ancora essere usati per accedere agli account. Inoltre, DBSC non protegge i cookie di sessione di account aziendali che non supportano DBSC.
Impatto sulle prestazioni
L’implementazione di DBSC non ha un impatto significativo sulle prestazioni del browser. La protezione è gestita automaticamente da Chrome, senza bisogno di intervento dell’utente. Inoltre, la protezione non influisce sull’esperienza dell’utente: non devi fare nulla, Chrome gestisce tutto automaticamente.
Supporto per i sistemi operativi
DBSC è ora disponibile per tutti gli utenti di Chrome 146 per Windows, con il supporto per macOS che arriverà presto. La protezione è già attiva per tutti i clienti di Google Workspace e per gli utenti con account personali di Google. Gli amministratori di Google Workspace non possono disabilitare questa protezione, garantendo che tutti i dipendenti siano protetti.
Integrazione con le app aziendali
DBSC è integrato con le app aziendali principali, permettendo che le app aziendali supportano la protezione. Questo significa che le app aziendali possono verificare che il cookie della sessione sia legato al dispositivo originale, rifiutando la connessione se non corrisponde. L’integrazione con le app aziendali è in corso di sviluppo, e molte app aziendali principali hanno già aggiunto il supporto per DBSC.




