Chrome rende inutili i cookie rubati: Google attiva DBSC

Sicurezza

Google ha avviato la distribuzione generale di una protezione che punta a colpire uno dei meccanismi più sfruttati dai gruppi criminali specializzati in infostealer: il furto dei cookie di sessione. La novità riguarda Chrome ed è incentrata sulla tecnologia Device Bound Session Credentials (DBSC), della quale avevamo già parlato tempo e che è concepita per impedire che un token di autenticazione sottratto da un malware possa essere riutilizzato su un altro dispositivo.

La decisione arriva dopo anni in cui il mercato criminale ha trasformato i cookie rubati in una merce estremamente redditizia. In molti casi gli attaccanti non hanno più bisogno di conoscere password o codici 2FA: basta impossessarsi della sessione già autenticata per accedere, per esempio, a servizi cloud, piattaforme aziendali, account Google, Microsoft 365 e applicazioni SaaS. Diverse campagne attribuite a malware come Lumma, Vidar, StealC e altre famiglie di infostealer hanno dimostrato quanto il fenomeno sia diventato esteso e, addirittura, industrializzato.

Perché i cookie di sessione sono diventati un bersaglio prioritario

Quando un utente effettua l’accesso a un servizio web, il server genera normalmente un cookie che rappresenta la sessione autenticata. Finché il token, “lasciapassare” alfanumerico memorizzato all’interno del cookie, rimane valido il browser può continuare a comunicare con il servizio senza richiedere nuovamente username, password o autenticazione a due fattori (o MFA, più fattori).