Phishing più furbo con il componente WebView2 di Edge: rischio furti d'identità

WebView2 è un controllo di Microsoft Edge che permette agli sviluppatori di integrare le principali tecnologie per il Web, come ad esempio HTML, CSS e JavaScript, all’interno di applicazioni native.
Con WebView2 il programmatore può creare un eseguibile in grado di comunicare con le applicazioni Web in modo simile a quanto fa un browser.

Un ricercatore indipendente ha dimostrato che è possibile utilizzare applicazioni basate su WebView2 per sottrarre dati personali come le credenziali di accesso ai principali servizi online e superare i meccanismi di autenticazione a due fattori.

Il ricercatore spiega di aver trovato il modo per iniettare codice JavaScript al fine di registrare tutti i tasti premuti dall’utente (keylogger).
WebView2 fornisce anche funzionalità integrate per estrarre il contenuto dei cookie: un malintenzionato può così rubare tali informazioni dopo l’avvenuta autenticazione e porre in essere un furto d’identità.
Il codice dimostrativo pubblicato su GitHub mette in evidenza tutto il potenziale dell’attacco.

Qualcosa di simile era già noto e poteva essere posto in essere sfruttando la versione originale del controllo WebView di Internet Explorer.
Adesso che Internet Explorer è stato ritirato (presto l’utilizzo del vecchio browser verrà inibito in tutte le versioni di Windows supportate da Microsoft), la nuova versione dell’attacco rappresenta un’evoluzione da tenere d’occhio.

Ciò che va tenuto presente, tuttavia, è che l’attacco può andare in porto se e solo se l’utente avvia un programma malevolo, ad esempio presentato come legittimo dall’aggressore, ed effettua la procedura di autenticazione inserendo nome utente e password (superando anche l’eventuale meccanismo di autenticazione a due fattori impostato).

Attenzione, quindi, ai programmi di terze parti che richiedono l’accesso ad account Microsoft, Google, Facebook, Dropbox e così via: presentandosi come in questa immagine essi possono raccogliere credenziali di autenticazione e altri dati personali.

Convincere qualcuno a eseguire un’applicazione richiede ulteriore lavoro per un criminale informatico. Per questo motivo tutti i normali consigli in tema di sicurezza informatica rimangono gli stessi: non aprire allegati sconosciuti, scansionare tutti i file scaricati da Internet e astenersi dall’inserire le proprie credenziali in qualunque applicazione a meno che non sia assolutamente certi circa il fatto che il programma sia legittimo.