Con il crescente spostamento delle operazioni aziendali verso i browser, i team di sicurezza si trovano ad affrontare un numero sempre maggiore di sfide informatiche. Oggi, oltre l’80% degli incidenti di sicurezza ha origine da applicazioni web accessibili tramite Chrome, Edge, Firefox e altri browser. Un avversario particolarmente in rapida evoluzione, Scattered Spider, ha come obiettivo quello di seminare il caos nelle aziende, puntando specificamente ai dati sensibili presenti su questi browser.
Scattered Spider: un nemico in evoluzione
Conosciuto anche come UNC3944, Octo Tempest o Muddled Libra, Scattered Spider si è evoluto negli ultimi due anni attraverso un targeting preciso dell’identità umana e degli ambienti browser. Questo cambiamento li distingue da altri famosi gruppi di cybercriminali come Lazarus Group, Fancy Bear e REvil. Se informazioni sensibili come il tuo calendario, le credenziali o i token di sicurezza sono presenti nelle schede del browser, Scattered Spider è in grado di acquisirle.
Metodi di attacco di Scattered Spider
Scattered Spider evita il phishing ad alto volume a favore di un’esploitazione precisa. Sfruttano la fiducia degli utenti nelle loro applicazioni quotidiane più utilizzate, rubando credenziali salvate e manipolando il runtime del browser.
Trucchi del browser
Tecniche come le sovrapposizioni Browser-in-the-Browser (BitB) e l’estrazione automatica dei dati vengono utilizzate per rubare credenziali, eludendo il rilevamento da parte degli strumenti di sicurezza tradizionali come Endpoint Detection and Response (EDR).
Furto di token di sessione
Scattered Spider e altri attaccanti bypassano l’autenticazione a più fattori (MFA) per catturare token e cookie personali dalla memoria del browser.
Estensioni dannose e iniezione di JavaScript
Payload dannosi vengono distribuiti tramite estensioni false ed eseguiti nel browser attraverso tecniche drive-by e altri metodi avanzati.
Ricognizione basata sul browser
Le API web e il sondaggio delle estensioni installate consentono a questi attaccanti di mappare l’accesso ai sistemi interni critici.
Strategie di sicurezza per i CISO
Per contrastare Scattered Spider e altre minacce avanzate basate sul browser, i CISO devono adottare una strategia di sicurezza multi-livello per il browser nei seguenti ambiti.
Protezione dei runtime script per fermare il furto di credenziali
Gli attacchi di phishing esistono da decenni. Tuttavia, attaccanti come Scattered Spider hanno avanzato le loro tecniche in modo esponenziale negli ultimi anni. Queste campagne di phishing avanzate ora si basano su esecuzioni di JavaScript dannosi che vengono eseguiti direttamente all’interno del browser, bypassando strumenti di sicurezza come EDR. Questo viene fatto per rubare credenziali utente e altri dati sensibili.
Considerazioni finali
La crescente minaccia rappresentata da Scattered Spider sottolinea l’importanza di elevare la sicurezza del browser da un controllo accessorio a un pilastro centrale della difesa aziendale. Le aziende devono adottare misure proattive per proteggere i loro dati sensibili e garantire che i loro team di sicurezza siano preparati a fronteggiare queste minacce in continua evoluzione. La protezione del browser non è più un’opzione, ma una necessità per la sicurezza informatica moderna.
Fonte: The Hackers News Per saperne di più
