Link alla notizia: https://www.hwupgrade.it/news/sicurezza-software/jupyter-e-il-nuovo-malware-che-prende-di-mira-aziende-e-istituti-scolastici_93548.html

Il malware prende di mira i browser Firefox, Chrome e quelli basati su Chromium e sottrae nomi utenti, password, dati di navigazione e cookie. In attività sin da maggio, ora potrebbe essere in fase dormiente

Click sul link per visualizzare la notizia.

Non è ben chiaro come un file con questi privilegi possa essere eseguito su PC che dovrebbero avere l'User Account Control attivo e richiedere quindi la password di amministratore prima di installare componenti.

Credo che in questo caso l'UAC non possa farci nulla. I browser salvano cookie, password, cronologia, ecc in cartelle e database SQLite all'interno del profilo utente. Quindi qualunque processo eseguito dallo stesso utente ha accesso diretto a queste informazioni. Per le password credo ci sia un blando livello di crittografia, ma siccome Chrome non ti chiede nessuna "master password" per usare le credenziali salvate, vuol dire che non sono protette come in un password-manager.

Poi è anche vero che l'utente medio clicka "YES" su quasi tutti i popup che vede. Quindi il malware per installare componenti più "avanzati" può richiedere l'elevazione di powershell.exe che, essendo un eseguibile di MS, è certificato, quindi niente schermata gialla di warning...

Credo che in questo caso l'UAC non possa farci nulla.

Nell'articolo dicono che avvia una installazione, e se è una installazione l'UAC dovrebbe bloccarla, o mi sbaglio io? (Mi capita di lavorare su domini ma non sono sistemista).

Poi è anche vero che l'utente medio clicka "YES" su quasi tutti i popup che vede. Quindi il malware per installare componenti più "avanzati" può richiedere l'elevazione di powershell.exe che, essendo un eseguibile di MS, è certificato, quindi niente schermata gialla di warning...

Quindi riuscirebbe a sfruttare un prompt con i semplici privilegi di utente standard? Bella rogna in tal senso...

Ci sono molti SW (sempre di più) che si installano nel profilo utente, invece che nella cartella dei programmi "classica". Per installarsi li non servono i privilegi di admin, quindi l'UAC non si attiva.

In questo modo hanno privilegi limitati, per avere tutti i privilegi devono comunque attivare l'UAC e l'utente deve pigiare "YES". Però se lo fanno lanciando uno script con PowerShell, il popup di UAC è bianco, non giallo e l'utente medio al 90% clicca "YES".

In questo modo hanno privilegi limitati, per avere tutti i privilegi devono comunque attivare l'UAC e l'utente deve pigiare "YES". Però se lo fanno lanciando uno script con PowerShell, il popup di UAC è bianco, non giallo e l'utente medio al 90% clicca "YES".

L'utente medio aziendale, però, "Sì" non lo può cliccare.

Resta il fatto che le password di Chrome te la dovrebbe riuscire a fregare comunque