Google rivela i dettagli sul malware Cookie Theft: attenti, è ancora in circolazione

Google rivela i dettagli sul malware Cookie Theft: attenti, è ancora in circolazione
di

Quando si parla di virus, Google è spesso coinvolto nella loro analisi o rimozione da piattaforme come il Play Store. Per esempio, recentemente Big G ha rimosso un app di Squid Game contenente il malware Joker. Negli ultimi anni, però, ha anche studiato nel dettaglio il malware Cookie Theft, purtroppo ancora in circolazione.

Secondo le analisi del Threat Analysis Group di Google, questo malware esiste dal 2019 ed è protagonista di una campagna gestita da un gruppo di hacker di lingua russa. Il metodo di adescamento delle vittime prevede la richiesta di stabilire una partnership per provare software d’ogni tipo. Nella maggior parte dei casi, i bersagli sono content creator su YouTube o streamer, ai quali viene proposto il test di una demo di antivirus, VPN o videogiochi, infetti però da virus.

Altri metodi prevedono la creazione di siti Web cloni di portali di aziende più famose come Cisco o Steam: qualche click per il download del software infetto e il gioco è fatto, Cookie Theft è all’interno del dispositivo bersaglio. O ancora, la creazione di siti copia di social media, anche in tal caso con software apparentemente affidabili disponibili per il download. In altri casi, le vittime ricevono una e-mail di phishing; questo metodo, però, viene facilmente contrastato da Gmail. La stessa Google ha rivelato che le protezioni integrate al servizio mail hanno ridotto il volume dei tentativi di phishing del 99,6% da maggio 2021, con il blocco di ben 1,6 milioni di messaggi e 2.400 file infetti.

Ma cosa succede una volta scaricato il software infetto? Il malware consiste in un “ruba-cookie”, come da nome. In altre parole, viene seguito codice che ruba i cookie dal browser della vittima e li carica sui server dell’hacker in questione. Ciò significa che quest’ultimo può ottenere accesso a molte informazioni importanti dell’utente bersaglio, tra cui anche le credenziali di accesso a diversi siti ufficiali. L’obiettivo finale? Rivenderle al miglior offerente nel Dark Web, con prezzi che nel tempo hanno raggiunto anche quote pari a 4.000 Dollari nel caso di account di streamer.

Proprio questi ultimi profili delle vittime erano e sono ancora tra i più ambiti, in quanto i canali Twitch o YouTube dirottati venivano utilizzati per il live streaming di contenuti truffaldini legati alle criptovalute, con la promessa di “grandi omaggi” in cambio di un pagamento iniziale.

L’offensiva, per giunta, avviene in maniera tale che il file dannoso non venga rilevato durante l’esecuzione. Tra i malware utilizzati figurano in particolare RedLine, Vidar, Azorult, Raccoon, Grand Stealer, Vikro Stealer e prodotti open source come Sorano e AdamantiumThief.

Come contrastare l'infezione da parte di Cookie Theft? È sufficiente prestare estrema attenzione alle mail e ai messaggi che si ricevono in rete, soprattutto le proposte di collaborazione nel caso in cui siate content creator. Nel caso di download di file dall’origine dubbia, si consiglia una scansione con l’antivirus in vostro possesso. Ancora più importante è, invece, l’attivazione dell’autenticazione a due fattori ovunque sia possibile. Nel frattempo, Google e YouTube continueranno a fare del loro meglio per arginare il problema.

Sempre a proposito di malware, a fine settembre è stato scoperto il virus GriftHorse su oltre 200 app Android.

FONTE: Google
Quanto è interessante?
3