Speciale Lumma Info-Stealer: hacking sempre più sofisticato

Gli account Google sono diventati bersaglio di un nuovo tipo di attacco informatico che ha suscitato preoccupazione e incertezza tra gli utenti. Questo exploit, al di là della sua difficoltà nell'essere individuato, presenta un rischio aggiuntivo poiché cambiare la password o l'indirizzo IP non sembra metterlo fuori gioco. Tuttavia esiste sempre una soluzione, vediamo di capire quale e di cosa si tratta più nel dettaglio. Un exploit rappresenta un insieme di istruzioni, un software o una sequenza di comandi progettati per sfruttare una falla o una debolezza all'interno di un sistema informatico, hardware o qualsiasi dispositivo elettronico.

L'obiettivo principale è generare un comportamento specifico all'interno del software o dell'hardware, solitamente prendendo il controllo del sistema, conferendo privilegi amministrativi a un intruso o avviando attacchi (DoS o DdoS) che possono interrompere o negare lo specifico servizio. Gli infostealer sono uno strumento di hacking molto diffuso, in quanto consentono agli attori delle minacce di accedere a servizi importanti come gli account dei social media o le caselle di posta elettronica. Impossessandosi dei dati bancari o dei dati relativi ai portafogli delle criptovalute, gli aggressori possono rubare i fondi delle vittime.

L'exploit multilogin è stato individuato come la fonte di questa minaccia agli account Google. Questo exploit sfrutta una vulnerabilità sugli account per condurre un attacco "multilogin": funziona rubando i cookie, ovvero le informazioni scambiate tra il nostro computer e i server quando eseguiamo operazioni come l'accesso a Google. Queste informazioni vengono sottratte e riutilizzate ripetutamente, indipendentemente dal cambio di indirizzo IP o di password.

L'aspetto critico è che questo attacco è associato a un malware chiamato “Lumma Infostealer”. L'exploit è stato integrato in questo malware lo scorso novembre 2023 e la peculiarità preoccupante è che la sessione rimane valida anche dopo aver cambiato la password dell'account, sfidando le misure di sicurezza tradizionali. Consigli tipici dati agli utenti Google come l'uso di password robuste e l'attivazione dell'autenticazione a due fattori, sebbene validi, possono non essere sufficienti contro questo tipo di minaccia.

Sandbox e trigonometria

Si ritiene sia stato sviluppato dal cybercriminale "Shamel", che usa l'alias "Lumma". L'autore stesso dell'exploit si è offerto di collaborare alla ricerca di una soluzione ma il malware Lumma, rilevato per la prima volta nell'agosto 2022, è diventato sempre più sofisticato raggiungendo la versione 4.0 alcune settimane fa. Questo malware si avvale persino di calcoli di trigonometria, dimostrando un alto livello di sofisticazione: il malware traccia la posizione del cursore e registra una serie di 5 posizioni distinte a intervalli di 50 millisecondi. Ciò gli consente di rilevare la presenza di sandbox, usando coordinate matematiche per calcolare se e come il mouse viene spostato da una vera mano. 

Gli angoli dei vettori inferiori a 45° gradi indicano il controllo del mouse da parte di un utente umano. Se gli angoli superano questa misura, un software di furto informazioni presume di essere eseguito in un ambiente sandbox e interrompe tutte le attività. Riprende le operazioni solamente quando rileva l'attività del mouse di origine umana. È addirittura disponibile per l'acquisto attraverso forum del dark web, il prezzo del malware varia tra i 140 e i 160 dollari al mese, a seconda della versione.

Come evitare il rischio

Per quanto riguarda la diffusione di questo malware, avviene esclusivamente tramite software non originali o contraffatti. In genere è nascosto all'interno di altre installazioni di software, come app gratuite o peggio ancora piratate, senza che gli utenti se ne accorgano. Può inserirsi nel sistema dell'utilizzatore dopo che questi ha scaricato il tipico programmino di generazione di chiave (“Keygen”) per sbloccare illegalmente un software. La raccomandazione principale è scaricare software originali e solo da fonti affidabili, evitando siti sospetti. L'uso di strumenti come per esempio Virus Total è suggerito per analizzare e verificare la sicurezza dei programmi prima di installarli. Tale software può aiutare a esaminare i file e valutare il potenziale rischio, ma richiede un discernimento umano per interpretare i risultati. Peraltro questo strumento può individuare possibili minacce, ma non sempre offre una chiara distinzione tra un falso positivo e una vera minaccia. In altre parole, se non avete conoscenze informatiche non fidatevi del fai da te.

Evitate di cliccare su link o allegati sospetti, che potrebbero nascondere il malware o reindirizzare a siti web infetti. Verificate la fonte e la legittimità di qualsiasi software, aggiornamento o antivirus che intendete scaricare o installare, per evitare di cadere in trappole online. Abilitare l'autenticazione a due fattori (2FA) per i propri account Google e altri servizi online, per aggiungere uno "strato" di sicurezza in più. Comunque usare password forti e uniche aiuta a evitare che siano facilmente indovinate o rubate. Controllate regolarmente le impostazioni di sicurezza e le attività recenti dei propri account Google, per individuare e risolvere eventuali problemi.

Cosa dice Google

Google ha confermato che nel caso in cui i token di sessione siano stati sottratti da un malware locale, cambiare la password non è sufficiente: è necessario disconnettersi per invalidare i cookie e/o revocare l'accesso dai dispositivi compromessi. Un portavoce ha dichiarato che l'azienda è al corrente delle segnalazioni recenti riguardanti un tipo di malware che ruba i token di sessione. Gli attacchi che coinvolgono malware che sottrae cookie e token non sono nuovi. Il colosso mantiene regolarmente aggiornate le difese contro tali tecniche per proteggere gli utenti colpiti da malware. In questo caso, Google ha preso misure per proteggere gli account individuati come compromessi.

"È importante sottolineare un fraintendimento nei rapporti che suggeriscono che i token e i cookie rubati non possano essere revocati dall'utente. Questa affermazione non è corretta, in quanto le sessioni rubate possono essere invalidate uscendo semplicemente dal browser coinvolto o revocate a distanza attraverso la pagina dei dispositivi dell'utente. Continueremo a monitorare la situazione e a fornire aggiornamenti se necessario. Nel frattempo, gli utenti dovrebbero prendere provvedimenti per eliminare qualsiasi malware dal proprio computer e consigliamo di attivare la funzione Enhanced Safe Browsing in Chrome per difendersi dal phishing e dal download di malware."