Aggiornare subito Chrome alla versione 80 per bloccare il furto di password da parte di AZORult. È questo il consiglio dei ricercatori di cyber security di KELA che hanno scoperto una falla. L’introduzione dell’algoritmo AES-256 per eseguire l’hash delle password archiviate localmente all’interno del database del browser, ha portato queste ad avere un formato diverso rispetto a prima. Ciò ha inibito la capacità del malware di estrarle.
Il dato è stato confermato dalla contrazione dei dati contenuti in Genesis, uno dei principali store online attivi nel Dark Web, che è specializzato nella vendita di credenziali. Non solo username e password, ma anche tutta una serie di informazioni sull’attività dell’utente (“fingerprint”), tra cui dettagli tecnici come indirizzi IP passati, cookie del browser, stringhe di user-agent. La particolarità dello shop del cybercrime era che i clienti di Genesis ricevevano un’estensione di Chrome da utilizzare per applicare l’impronta digitale acquistata e, di fatto, impersonare un utente.
Gli esperti di cyber security del CERT-PA ricordano che Genesis era molto popolare tra gli esponenti del cybercrime per la capacità di bypassare l’autenticazione a 2 fattori (2FA). Peraltro, la maggior parte delle informazioni in vendita nel negozio sul Dark Web proveniva proprio da infezioni AZORult. La ricerca condotta da KELA, infatti, afferma che il 90% di tutti le fingerprints rubate elencate avevano un formato di 8-8-8-8-8 (otto caratteri alfanumerici in cinque blocchi successivi), suggerendo che provenivano da un singolo ceppo di malware. L’aggiornamento di Chrome blocca questo rischio, ma ci sono altri codici malevoli in grado di rubare i dati dal browser.