È stato dimostrato che, utilizzando il componente WebView2 in un’applicazione nativa appositamente sviluppata, è possibile portare a termine con successo un attacco phishing per il furto di credenziali (e di cookie), tale da permettere all’attaccante di risultare autenticato con i dati della vittima, anche in presenza della sicurezza a doppio fattore.
Indice degli argomenti
Un attacco di phishing intelligente che sfrutta WebView2
Si tratta di un phishing evoluto, più furbo e differente rispetto a quelli cui siamo abituati ad incontrare e analizzare.
In effetti, quello esposto e dimostrato dal ricercatore di sicurezza informatica indipendente mr.dox, inizia come un phishing, per convincerci a installare una certa applicazione specifica. Poi evolve subito dopo in un attacco di “cookie stealer”, rubando i cookie personali che abbiamo generato con una legittima autenticazione.
Il componente WebView2 consente agli sviluppatori di applicazioni native, di implementare tutte le funzionalità di navigazione del Web, sfruttando il motore di Microsoft Edge (che fa parte della famiglia dei Chromium browsers), all’interno della propria applicazione. Potendo così supportare HTML, CSS e JavaScript, in maniera semplice con un unico componente.
Secondo la dimostrazione dell’attacco, oggetto dell’analisi, una applicazione appositamente sviluppata, mediante questo componente, potrebbe richiederci l’autenticazione legittima (originale) ad un noto servizio. Nell’esempio viene preso in esame il caso di un’autenticazione di Microsoft (fonte immagine “mrdox.com”).
Questa pagina, magari inserita nella prima videata di una applicazione, è una pratica comune per qualsiasi utente, e chiunque (per il modo a cui siamo abituati oggi di interfacciarci con le applicazioni nuove) può comprendere la necessità di doversi autenticare, soprattutto con un servizio così largamente diffuso, esempio: una applicazione falsa di Zoom, un eseguibile che imita Teams, un’applicazione diffusa come un aggiornamento di un’altra che già possediamo. Inoltre questa pagina di autenticazione è legittima, non è phishing, è proprio la pagina di login di Microsoft, quella vera.
Cosa succede se facciamo login?
Il ricercatore ha dimostrato che l’applicazione può essere sviluppata, utilizzando una caratteristica di WebView2, come un captatore di cookies che, una volta letti, possono essere trasferiti in remoto sul server dell’utente malintenzionato, utilizzando JavaScript. Il componente infatti permette di importare l’intero set di cookies attivi per l’utente, all’interno della nostra applicazione, direttamente dal contenuto della cartella “C:Users<username>AppDataLocalGoogleChromeUser Data”. Una volta che l’attaccante riceve quanto l’applicazione ha importato e poi spedito in remoto, può semplicemente decodificare da base64 per ottenere tutto il contenuto del dato cookies che è stato trasmesso (immagine “mrdox.com”).
Importando invece direttamente tutta la User Folder dei cookies, sempre esfiltrata dall’applicazione malevola, può risultare automaticamente autenticato sulla propria macchina, semplicemente aggiornando la pagina della quale si ha rubato il cookies. L’utente malintenzionato risulterà in questo caso autenticato al posto nostro, perché di fatto ha la nostra user folder dei cookies Chrome.
Inoltre, non avrebbe necessità di reinserire l’eventuale doppio fattore di autenticazione (2FA), in quanto l’esfiltrazione avviene dopo che la vittima ha già superato tutti i controlli e il cookie risulta pertanto già valido e autenticato, senza necessità di ripetere la verifica.
Microsoft: non è un attacco semplice
Per avere successo, un attacco di questo tipo, che ricordiamo esiste solo a titolo dimostrativo e non ci sono prove, per ora, che ne attestino l’effettivo sfruttamento, necessità dell’ingegneria sociale. Bisogna sfruttare il fattore umano come punto debole per riuscire nell’intento malevolo.
È proprio ciò che risponde Microsoft alle domande al riguardo poste dagli autori di BleepingComputer che si sono occupati della vicenda, in effetti l’attaccante deve sfruttare ulteriori energie, per riuscire a convincere la vittima ad installare e utilizzare una applicazione di terze parti, recuperata non da fonti ufficiali. Dovrebbero riuscire a convincere l’utente preso di mira, ad installare qualcosa di esterno, fingendola magari una applicazione/aggiornamenti di qualcosa di ufficiale e legittimo.
In questo senso è molto importante la sensibilizzazione di tutti sul tema dell’installazione di software proveniente da fonti sconosciute, qualsiasi sia il tema che rappresenta. Installiamo solo programmi da fonti ufficiali, mai quelli ricevuti via chat o via email. Ricordiamoci sempre di portare a termine un’autenticazione (sia semplice che a doppio fattore), solo se l’applicazione che ce la richiede siamo sicuri senza percentuale di errore, essere legittima e di ufficiale provenienza.
In conclusione
Questo attacco rappresenta una nuova frontiera di phishing, che è giusto conoscere e che dobbiamo aspettarci di poter ricevere. Imita un’applicazione o un aggiornamento realmente esistente, magari come icone e nome dell’applicazione, poi quando viene eseguita ci presenta una pagina Web autentica, realmente esistente e non di phishing, per farci autenticare con le nostre credenziali ma, lo ricordiamo, l’attacco è già partito dal momento che abbiamo lanciato la falsa applicazione.
Perciò l’attenzione maggiore è da rivolgere alla prevenzione, non farsi convincere all’installazione di applicazione di dubbia provenienza. Inoltre è buona pratica, prima di procedere all’installazione di una nuova applicazione (quando proveniente extra store ufficiale), sottoporla a scansione antivirus.
