Dapprincipio risultavano superflui e passavano inosservati.
Adesso sono la colonna portante dell’informazione che passa attraverso il web.

Stiamo parlando ovviamente dei cookie, piccoli file che registrano l’attività compiuta da un utente sul sito web che visita in quel momento.
Possono cancellarsi alla fine della sessione o risultare permanenti sul PC al fine di riconnettersi al loro server di riferimento quando ci ricolleghiamo al sito che li ha generati.
Si era sempre creduto che i cookie fossero innocui o che non potessero essere il veicolo di un attacco mirato alla nostra privacy.

Tuttavia, le cose sono cambiate ad ottobre 2023, quando una scomoda verità è stata messa in luce da CloudSEK, che ha anche fornito il nome del principale responsabile di una pesantissima vulnerabilità a loro intrinseca: Google.

rubare i cookie di google
  1. Vulnerabilità nel cookie di autenticazione
  2. Malware anti-cookie
  3. La risposta di Google
  4. Come mitigare il rischio da un’infezione di LummaC2?

Vulnerabilità nel cookie di autenticazione

CloudSEK ha condotto per anni analisi dei cookie provenienti dalla stragrande maggioranza dei siti web e delle applicazioni web based, sino a scoprire che una nuova e preoccupante minaccia si era sviluppata.
Si tratta di un malware in grado di sfruttare la vulnerabilità dei cookie provenienti da Google stessa, con cui accedere illegalmente agli account privati dei suoi utenti.

Inizialmente questa vulnerabilità è stata messa in mostra da un hacker su Telegram a partire da ottobre 2023, a cui è seguito il comunicato ufficiale di CloudSEK. Si è teso ad evidenziare come il problema stesso risieda nel meccanismo di autenticazione creato dalla stessa Google.
Questo perché il cookie che si occupa dell’autenticazione dell’utente presenta una sensibilità molto alta.

Infatti, molto spesso può capitare di accedere al proprio account Google senza che venga richiesto il reinserimento della password, proprio perché immagazzinata nel suddetto cookie.
Il processo presenta quindi una falla di non poco conto, cosa che ha fatto cogliere immediatamente la palla al balzo ai cybercriminali, i quali hanno scoperto come bypassare in toto le misure di sicurezza di un account Google, anche se su esso è presente l’autenticazione a due fattori: ormai divenuta cruciale e imprescindibile.

Il malware anti-cookie

CloudSEK ha rilevato per la prima volta un malware in grado di sfruttare la falla del cookie il 24 novembre 2023.
A seguito di approfondite analisi del codice, è emerso che si tratta di un aggiornamento del già esistente e temuto Lumma malware, giunto attualmente alla versione 4.0 e rinominato LummaC2.

Si tratta nello specifico di un malware subdolo in grado di sfruttare a proprio vantaggio la trigonometria, mediante cui può addirittura distinguere se è in esecuzione su una macchina reale, o in una sandbox virtuale generata da un antivirus.
Sfortunatamente si tratta di un servizio in abbonamento, come tanti già esistenti nei black market del dark web, che si traduce in aggiornamenti costanti e rafforzamenti del codice atti ad aggirare qualsiasi contromisura sia presa nei suoi confronti. Chi vuole commettere un illecito e servirsi di un pacchetto completo estremamente efficace, è disposto a investire in un abbonamento mensile con prezzi compresi tra i 250 e i 1000 dollari.

A peggiorare ulteriormente la situazione, ci si mette la capacità del malware di sfruttare proprio l’exploit del cookie di autenticazione di Google.
Questo perché LummaC2 riesce a “resuscitare” il cookie di sessione e accedere a quello di autenticazione anche se l’utente cambia la propria password, o inasprisce le misure di sicurezza del proprio account. Così facendo, chi sfrutta Lumma può avere un accesso prolungato e inosservato all’attività sul web e ai dati dell’utente che ne cade vittima.

La risposta di Google

Interrogata sulla questione, Google ha diramato una comunicazione ufficiale, nella quale ha risposto di essere a conoscenza della vulnerabilità intrinseca al proprio cookie di autenticazione e la propria volontà di bloccare i cookie provenienti da terzi.
Tuttavia, alla data di pubblicazione di questo articolo, non è stata ancora implementata una soluzione efficace per contrastare il malware.
Questo rappresenta un precedente molto pericoloso, in quanto la società di Mountain View detiene il 60% della quota di mercato dei browser, dato che il suo Google Chrome è il più utilizzato dagli utenti del mondo.
Tale valore non tiene nemmeno conto dei suoi derivati, come Edge, Brave, o Opera GX, il che dovrebbe senz’altro smuovere l’utenza nel chiedere risultati concreti entro un breve termine.

Come mitigare il rischio da un’infezione di LummaC2?

Sia Google, che CloudSEK hanno fornito una lista di istruzioni e consigli da far seguire agli utenti, in modo da evitare possibili infezioni e mitigare i danni se questa è già avvenuta.
Si tratta di soluzioni provvisorie in attesa di una risoluzione definitiva da parte del colosso di Mountain View.

  • Abilitare la modalità Navigazione sicura di Google Chrome.
    Gli utenti del browser ufficiale di Google sono invitati ad abilitare una misura extra cautelare che permette di scansionare in anticipo il sito web che si andrà a visitare e a rimuovere possibili cookie ritenuti vulnerabili.
  • Disconnessione totale da account e profili.
    Se si sospetta di essere stati infettati da LummaC2, il consiglio principale è di disconnettersi da tutti gli account e dai profili social accessibili attraverso il browser e direttamente legati all’account Google principale. La soluzione è solo provvisoria, in quanto sarà Google a dovervi intervenire in seguito in maniera diretta.
  • Reimpostare le password.
    Sebbene, come abbiamo visto nei paragrafi precedenti, questa sia una soluzione aggirabile, si consiglia comunque un reset delle proprie password. In questo modo si ha la possibilità di prendere tempo contro l’avanzata del malware all’interno del nostro dispositivo.

In conclusione

L’imprevista evoluzione di Lumma e le vulnerabilità emerse all’interno di uno dei più importanti cookie del web, solleva non solo molti dubbi sull’efficacia delle misure di sicurezza di Google, ma segna anche un precedente molto pericoloso nella storia della compagnia di Mountain View.

Le nuove sfide per gli esperti di sicurezza informatica e le community ad essi associate, adesso sono divenute molto più serie e delicate, in quanto la mai troppa ribadita necessità di vigilare costantemente sulle proprie credenziali e sulla propria attività online è pressoché imprescindibile.
Le minacce provenienti dai criminali informatici, le nuove tecniche per evadere le moderne misure di sicurezza, stanno raggiungendo vette a cui non si era mai assistito prima d’ora.

Noi utenti finali siamo chiamati in prima persona a rafforzare le nostre difese e a chiedere ai colossi del web maggiori garanzie per la nostra privacy e la nostra navigazione sicura sul web.