Nel panorama in continua evoluzione delle minacce informatiche, le aziende e gli individui cercano costantemente modi per proteggersi dagli attacchi sempre più sofisticati. Una delle soluzioni più recenti è l'isolamento del browser, una tecnica che esegue il browser in un ambiente remoto o virtuale, separandolo dal dispositivo dell'utente e impedendo al codice dannoso di raggiungere il sistema.
Tuttavia, una nuova ricerca condotta da Mandiant, azienda leader nel settore della sicurezza informatica, ha rivelato una vulnerabilità in questo sistema di difesa, dimostrando come i codici QR possano essere utilizzati per aggirare l'isolamento del browser e consentire ai criminali informatici di comunicare con il malware presente sui dispositivi infetti.
L'isolamento del browser funziona creando un ambiente separato dove viene eseguito il browser web. Quando un utente visita un sito web, tutte le richieste e le risposte vengono elaborate nell'ambiente isolato, e l'utente riceve solo una rappresentazione visiva della pagina. In questo modo, anche se il sito web contiene codice dannoso, questo non può essere eseguito sul dispositivo dell'utente, garantendo una maggiore protezione.
I ricercatori di Mandiant hanno scoperto che, nonostante l'isolamento del browser impedisca l'esecuzione di codice dannoso sul dispositivo dell'utente, i criminali informatici possono comunque sfruttare i codici QR per comunicare con i malware. Il malware di esempio, presente sul dispositivo infetto, può analizzare i pixel visualizzati sullo schermo e, se riconosce un codice QR, può decodificarlo e ricevere istruzioni dal server di comando e controllo (C2).
Per dimostrare la validità di questa tecnica, Mandiant ha creato un proof-of-concept (PoC) utilizzando l'ultima versione di Google Chrome e la funzionalità External C2 di Cobalt Strike, un popolare strumento di simulazione di attacchi informatici. Il PoC ha dimostrato come il malware possa ricevere comandi tramite codici QR visualizzati nel browser isolato, consentendo ai criminali informatici di controllare il dispositivo infetto.
Nonostante l'efficacia di questa tecnica, i ricercatori di Mandiant sottolineano che presenta alcune limitazioni. La quantità di dati che può essere trasmessa tramite un codice QR è limitata a circa 2.189 byte, e la latenza tra l'invio del comando e la sua esecuzione è di circa 5 secondi. Queste limitazioni impediscono l'invio di payload di grandi dimensioni o l'utilizzo di proxy SOCKS. Inoltre, l'implementazione di misure di sicurezza aggiuntive, come la scansione degli URL o la prevenzione della perdita di dati, può rendere questo metodo inefficace.
Tuttavia, nonostante le limitazioni, questa tecnica rappresenta un potenziale rischio per la sicurezza informatica. I criminali informatici potrebbero sfruttare i codici QR per inviare comandi al malware, consentendo loro di rubare dati sensibili, installare ransomware o prendere il controllo dei dispositivi infetti.
Alla luce di questa scoperta, Mandiant raccomanda ai team IT di mantenere un elevato livello di attenzione e di monitorare attentamente il traffico di rete, in particolare quello proveniente da browser headless in modalità di automazione. È inoltre fondamentale implementare misure di sicurezza aggiuntive.
La ricerca di Mandiant dimostra ancora una volta come i criminali informatici siano costantemente alla ricerca di nuove tecniche per aggirare le misure di sicurezza. L'isolamento del browser, pur essendo una soluzione efficace per proteggersi da molte minacce informatiche, non è infallibile. I codici QR rappresentano una nuova vulnerabilità che i criminali informatici possono sfruttare per compromettere i dispositivi degli utenti.
È quindi fondamentale adottare un approccio olistico alla sicurezza informatica, implementando diverse misure di protezione e mantenendo un costante monitoraggio delle nuove minacce.
