Domenica 05 Luglio 2026 14:30:50 GMT+02:00

Netcrook

HomeManifesto
News
Techcrook
Geocrook
WikicrookTeamAppContatti
ItalianoEnglishArabic

Malware e botnet

Il nuovo trucco di Vidar trasforma la difesa segreta di Chrome in un gioco di processi

Pubblicato: 20 Giugno 2026 10:03Categoria: Malware e botnetArea: Nord America / USAAutore: IRONQUERY

Un bypass APC-injection segnalato mostra come gli infostealer possano spostarsi dal semplice furto di cookie a un uso più evasivo dei processi Windows, man mano che le protezioni del browser si rafforzano.

La Application-Bound Encryption di Chrome era stata pensata per rendere più difficile il recupero dei segreti del browser su Windows. L'ultimo sviluppo di Vidar infostealer, attribuito a Gen Threat Labs, suggerisce che gli aggressori stiano ancora sondando quel confine invece di abbandonarlo. Il bypass segnalato non sembra una rottura brutale della protezione di Chrome. Sembra piuttosto un passaggio alla manipolazione dei processi, in cui il malware cerca di confondersi in un contesto di esecuzione fidato abbastanza a lungo da raggiungere ciò che vuole.

Fatti rapidi

  • Vidar è una famiglia di infostealer per Windows associata a cookie del browser e credenziali salvate.
  • Chrome ha introdotto la Application-Bound Encryption nel 2024 per rendere più difficile rubare i segreti archiviati dal browser.
  • Gen Threat Labs ha attribuito a una variante di Vidar l'injection APC come metodo di bypass segnalato.
  • Il materiale menziona anche aggiornamenti settimanali e una catena di processi complessa nel comportamento del malware.
  • Il riepilogo fornito non nomina una vittima, l'ambito della compromissione o un esito confermato di esfiltrazione.

Cosa suggerisce il bypass

Da una prospettiva difensiva, la parte interessante non è solo che la protezione di Chrome esista, ma che gli aggressori sembrino adattarsi per aggirarla. La ABE è stata progettata per proteggere i cookie e le credenziali sensibili archiviati dal browser su Windows. Questo aumenta il costo di un furto diretto dal profilo utente, ma non impedisce al malware di provare a spostarsi in un contesto di processo più privilegiato o più fidato.

L'APC injection è uno di quei classici trucchi di Windows. Nei termini di MITRE ATT&CK, si tratta di una tecnica di process injection usata per eseguire codice all'interno di un altro processo in esecuzione. Questo è importante perché gli strumenti di sicurezza spesso individuano più facilmente un semplice accesso ai file rispetto a comportamenti sospetti dentro un processo legittimo. Se un campione sta davvero usando l'APC injection come descritto, i difensori dovrebbero pensare in termini di attività dei thread, anomalie di esecuzione del codice e manomissione dei processi, non solo di indicatori di file del browser rubati.

Anche il dettaglio degli aggiornamenti settimanali conta. Una rapida iterazione può far invecchiare rapidamente le firme statiche, soprattutto negli ecosistemi di malware commodity. Questo spinge i difensori verso il rilevamento basato sul comportamento, una telemetria endpoint più rigorosa e controlli che rendano più difficile l'abuso dei privilegi locali. Significa anche che il rafforzamento del browser raramente è il traguardo finale. Gli aggressori spesso si spostano al livello sotto o intorno alla protezione.

Allo stesso tempo, le informazioni disponibili supportano un'analisi del rischio, non un'affermazione definitiva di compromissione. Il percorso tecnico completo resta poco chiaro e il riepilogo fornito non mostra se in questo caso si siano verificati un furto reale di cookie o un abuso successivo degli account.

Conclusione

La lezione più grande non è che la difesa di Chrome sia stata compromessa. È che la protezione del browser cambia la forma dell'attacco. Quando l'archiviazione dei segreti diventa più robusta, gli infostealer spesso si spostano verso l'injection dei processi, il living-off-the-land e altri passaggi più rumorosi ma più difficili da ignorare. Per i difensori, questo è il segnale da osservare: non solo cosa è memorizzato, ma quanto vicino riesce a arrivare un processo per toccarlo.

TECHCROOK

Hardware security key: Una piccola chiave fisica per gli account che supportano FIDO2 o le passkey. Aggiunge un secondo fattore robusto per email, gestori di password e altri accessi importanti, riducendo la dipendenza dalle sole password.

Scheda Techcrook: Hardware security key

WIKICROOK

  • Infostealer: Malware progettato per raccogliere dati del browser, password, token di sessione e altri segreti riutilizzabili.
  • Application-Bound Encryption (ABE): Una funzione di sicurezza di Chrome introdotta nel 2024 per rendere più difficile rubare i segreti archiviati dal browser vincolando la decrittazione a Chrome e al contesto della macchina.
  • APC injection: Una tecnica di Windows che accoda l'esecuzione del codice in un altro processo per aiutare il malware a girare in un contesto fidato.
  • Process injection: Un insieme di metodi usati per inserire codice malevolo all'interno di un altro processo, così da nascondersi o eludere le difese.
  • Session token: Un artefatto di credenziali che può mantenere un account connesso senza reinserire la password, rendendolo prezioso per i ladri.