Un ricercatore di sicurezza ha creato un tool che permette di rubare i cookie di autenticazione e quindi di accedere agli account delle vittime. WebView2 Cookie Stealer sfrutta la tecnologia WebView2 di Microsoft Edge e il comune phishing per ottenere il controllo dell’account anche se protetto dall’autenticazione multi-fattore. È quindi fortemente consigliata l’installazione di software che bloccano questo tipo di attacco. Tra le soluzioni più efficaci c’è Avast Premium Security.
Sembra un’app WebView2, invece è phishing
Tutti i principali servizi online hanno adottato l’autenticazione multi-fattore per proteggere gli account (in Europa è obbligatoria per i pagamenti, in base alla direttiva PSD2). Esistono però i cosiddetti trojan bancari che possono intercettare i codici OTP inviati via SMS. Il tool sviluppato dal ricercatore mr.d0x offre un’alternativa più semplice, in quanto sfrutta un’app WebView2. Ovviamente è necessario un attacco di social engineering tramite phishing per raggiungere lo scopo.
Microsoft Edge WebView2 permette di creare app che utilizzano il motore di rendering del browser con il supporto completo per HTML, CSS e JavaScript. In pratica le app sembrano normali pagine web. WebView2 consente di iniettare codice JavaScript con il quale è possibile registrare i tasti premuti e rubare i cookie di autenticazione.
L’app fasulla permette, ad esempio, di aprire la pagina di login di Office (quella originale) e di rubare i cookie quando l’utente effettua l’accesso al servizio. I cookie sono in formato base64, ma possono essere decodificati facilmente. Dopo aver importato i cookie in Chrome con un’estensione come EditThisCookie è sufficiente aggiornare la pagina per accedere direttamente all’account della vittima. Chiaramente viene aggirata anche l’autenticazione multi-fattore perché i cookie vengono rubati dopo il login.
Microsoft sottolinea che questa tecnica richiede l’intervento dell’utente (download ed esecuzione dell’app). Quindi è fortemente consigliato l’uso di software che rilevano eventuali tentativi di phishing.