Le minacce informatiche stanno evolvendo rapidamente, sfruttando nuove tecniche e vettori per colpire individui e organizzazioni e recenti analisi hanno evidenziato due tendenze preoccupanti: l’uso di domini trascurati in campagne di spam malevolo e l’abuso di estensioni pericolose del browser per rubare dati e compromettere le identità digitali. Entrambi i fenomeni sottolineano la necessità di misure di sicurezza più robuste e consapevolezza da parte degli utenti.
Domini trascurati come strumenti per lo spam malevolo
I ricercatori di sicurezza hanno scoperto che attori malevoli continuano a sfruttare domini abbandonati o trascurati per condurre campagne di spam malevolo come backdoor. Questi domini, spesso appartenenti a vecchi siti web inutilizzati da decenni, mancano di registrazioni DNS standard come SPF e DKIM, che vengono utilizzate per verificare l’autenticità degli indirizzi email.
Una delle campagne più significative, attiva dal 2022, utilizza email contenenti allegati con codici QR. Questi codici reindirizzano le vittime a siti di phishing che imitano piattaforme di pagamento come AliPay e WeChat, con l’intento di rubare credenziali e dati finanziari. Le email, spesso scritte in mandarino, utilizzano esche come notifiche fiscali e proteggono i file con password per evitare rilevamenti automatici.
Questi attacchi non si limitano a phishing tradizionali. Gli aggressori utilizzano anche tecniche di estorsione, inviando email che simulano un’intrusione nei dispositivi delle vittime, chiedendo pagamenti in Bitcoin per evitare la divulgazione di presunti video compromettenti. L’assenza di verifiche DNS per i domini trascurati consente a queste email di bypassare i filtri di sicurezza e raggiungere le caselle di posta delle vittime.
Un altro vettore significativo è l’uso di domini economici di primo livello (gTLD) come .top, .xyz e .vip, che costituiscono oltre il 30% dei domini utilizzati per il cybercrimine, nonostante rappresentino solo una piccola parte del mercato complessivo dei nomi di dominio. Questi domini, accessibili con costi inferiori ai 2 euro, offrono un’opportunità ideale per attività malevole.
La soluzione a queste minacce richiede un approccio multilivello. Le organizzazioni dovrebbero rafforzare i controlli di autenticazione per le email in entrata e monitorare regolarmente i domini utilizzati nelle loro comunicazioni. Inoltre, gli utenti devono essere educati a riconoscere i segnali di phishing e adottare buone pratiche, come evitare di scansionare codici QR provenienti da fonti non verificate.
Estensioni del browser come nuova frontiera per gli attacchi alle identità
Parallelamente, le estensioni del browser stanno emergendo come un importante vettore di attacco per il furto di identità. Recentemente, oltre 35 estensioni del browser sono state compromesse, esponendo i cookie e i dati di autenticazione di milioni di utenti. Questi attacchi dimostrano quanto le estensioni possano rappresentare un rischio sottovalutato per la sicurezza digitale.
Le estensioni del browser, pur essendo strumenti utili per migliorare la produttività, spesso richiedono permessi estesi per accedere ai dati sensibili degli utenti. Questi permessi includono la possibilità di leggere e scrivere cookie, registrare input da tastiera, accedere a dati di navigazione e persino controllare microfono e videocamera. Una volta compromesse, queste estensioni possono trasformarsi in strumenti per il furto di credenziali, l’acquisizione di sessioni attive e la raccolta di dati sensibili.
Un esempio recente è rappresentato dall’attacco a Cyberhaven, in cui un’estensione del browser compromessa ha rubato cookie di autenticazione per accedere agli account Facebook degli utenti. Sebbene molte estensioni compromesse siano state aggiornate o rimosse dal Chrome Store, l’incidente evidenzia la vulnerabilità di questa tecnologia.
Le organizzazioni devono affrontare queste minacce implementando strategie di gestione rigorose per le estensioni del browser. Un approccio efficace include l’auditing delle estensioni installate, l’identificazione di quelle con permessi elevati o critici e la categorizzazione dei rischi associati a ciascuna estensione. È inoltre essenziale limitare l’installazione di estensioni non autorizzate su dispositivi aziendali e applicare politiche di sicurezza che bilancino produttività e protezione.
I fornitori di browser possono anche svolgere un ruolo cruciale migliorando la trasparenza e il controllo sugli accessi delle estensioni, garantendo che i permessi richiesti siano strettamente necessari alle loro funzioni dichiarate.
L’evoluzione delle tecniche di attacco attraverso domini trascurati e estensioni del browser compromesse sottolinea l’urgenza di un approccio proattivo alla sicurezza informatica. Mentre i criminali sfruttano lacune nelle tecnologie esistenti, le organizzazioni e gli utenti devono adottare misure preventive per proteggere i propri dati e identità digitali. Solo una combinazione di tecnologie avanzate, politiche di sicurezza robuste e consapevolezza diffusa può arginare l’ondata crescente di minacce informatiche.
