Estensioni del browser pericolose

In che modo le estensioni dannose rubano le criptovalute, attaccano gli account nei giochi e nei social network, manipolano i risultati di ricerca e visualizzano annunci intrusivi.

Scriviamo spesso sulle pagine di questo blog di come le estensioni del browser possono essere molto pericolose. Per illustrare questo fatto, abbiamo deciso di dedicargli un articolo. In questo post esamineremo i casi più interessanti, insoliti, diffusi e pericolosi che hanno coinvolto estensioni dannose nel 2023. Vedremo anche di cosa erano capaci queste estensioni e, naturalmente, come proteggersi.

Estensioni Roblox con backdoor

Per preparare il terreno ed evidenziare una delle maggiori preoccupazioni associate alle estensioni pericolose, partiamo da una storia che ha avuto inizio lo scorso anno. A novembre 2022 sono state scoperte due estensioni dannose con lo stesso nome (SearchBlox) nel Chrome Web Store, lo store ufficiale delle estensioni per il browser Google Chrome. Una di queste estensioni ha avuto oltre 200.000 download.

Lo scopo dichiarato delle estensioni era cercare un giocatore specifico nei server Roblox. Tuttavia, il loro vero scopo era quello di violare gli account dei giocatori Roblox e rubare le loro risorse di gioco. Dopo la pubblicazione su BleepingComputer delle informazioni su queste estensioni dannose, queste sono state rimosse dal Chrome Web Store ed eliminate automaticamente dai dispositivi degli utenti che le avevano installate.

SearchBlox: estensioni del browser dannose con una backdoor nel Chrome Web

Le estensioni dannose SearchBlox pubblicate nel Google Chrome Web Store violavano gli account dei giocatori Roblox. Fonte

Tuttavia, la storia di Roblox non finisce qui. Ad agosto 2023 sono state scoperte altre due estensioni dannose di tipo simile, RoFinder e RoTracker, nel Chrome Web Store. Proprio come SearchBlox, questi plug-in offrivano agli utenti la possibilità di cercare altri giocatori nei server Roblox, ma in realtà nascondevano una backdoor. La community di utenti Roblox alla fine è riuscita a rimuovere anche queste estensioni dallo store.

RoTracker: un'altra estensione del browser dannosa con una backdoor

L’estensione dannosa RoTracker, anch’essa ospitata nel Google Chrome Web Store. Fonte

Questo suggerisce che la qualità della moderazione nella piattaforma più ufficiale al mondo per il download delle estensioni di Google Chrome lascia molto a desiderare ed è abbastanza facile per i creatori di estensioni dannose inserire le proprie creazioni. Per convincere i moderatori a individuare le estensioni pericolose e a rimuoverle dallo store, le recensioni degli utenti interessati raramente sono sufficienti: spesso è necessario impegno da parte dei media, dei ricercatori sulla sicurezza e/o di una vasta community online.

False estensioni ChatGPT che violano gli account Facebook

A marzo 2023 sono state scoperte due estensioni dannose nel Google Chrome Web Store a pochi giorni di distanza: entrambe sfruttavano il clamore che circondava il servizio di intelligenza artificiale ChatGPT. Una di queste era una copia infetta dell’estensione legittima “ChatGPT per Google”, che offriva l’integrazione delle risposte di ChatGPT nei risultati dei motori di ricerca.

L’estensione infetta “ChatGPT per Google” è stata caricata nel Chrome Web Store il 14 febbraio 2023. I suoi creatori hanno aspettato un po’ di tempo e hanno iniziato a diffonderla attivamente solo un mese dopo, il 14 marzo 2023, utilizzando gli annunci di Ricerca Google. I criminali sono riusciti ad attirare circa mille nuovi utenti al giorno, con oltre 9.000 download al momento della scoperta della minaccia.

Versione infetta dell'estensione ChatGPT per Google

La versione infetta di “ChatGPT per Google” assomigliava molto all’originale. Fonte

La copia con Trojan di “ChatGPT per Google” funzionava esattamente come l’originale, ma con funzionalità aggiuntive dannose: la versione infetta includeva codice progettato per rubare i cookie di sessione di Facebook memorizzati dal browser. Utilizzando questi file, gli autori degli attacchi erano in grado di violare gli account Facebook degli utenti che installavano l’estensione infetta.

Gli account compromessi potevano quindi essere utilizzati per scopi illegali. Ad esempio, i ricercatori hanno citato il caso di un account Facebook appartenente a un produttore di case mobili, che ha iniziato a promuovere contenuti dell’ISIS dopo la violazione.

Account Facebook hackerato che promuove contenuti dell'ISIS

Dopo essere stato violato, l’account Facebook ha iniziato a promuovere contenuti dell’ISIS. Fonte

Nell’altro caso, i truffatori hanno creato un’estensione completamente originale chiamata “Accesso rapido a Chat GPT”. Di fatto, l’estensione manteneva effettivamente le promesse, operando come intermediario tra gli utenti e ChatGPT tramite l’API ufficiale del servizio di intelligenza artificiale. Tuttavia, il suo vero scopo era ancora una volta quello di rubare i cookie di sessione di Facebook, consentendo ai creatori dell’estensione di violare account aziendali di Facebook.

Estensione dannosa Accesso rapido a Chat GPT

Estensione dannosa “Accesso rapido a Chat GPT”. Fonte

La cosa più interessante è che per promuovere questa estensione dannosa, gli autori utilizzavano gli annunci di Facebook, pagati (hai indovinato) dagli account aziendali che avevano già violato! Questo astuto schema ha permesso ai creatori di “Accesso rapido a Chat GPT” di attirare un paio di migliaia di nuovi utenti al giorno. Alla fine, entrambe le estensioni dannose sono state rimosse dallo store.

ChromeLoader: contenuto piratato con estensioni dannose

Spesso i creatori di estensioni dannose non le inseriscono nel Google Chrome Web Store e le distribuiscono in altri modi. Ad esempio, all’inizio di quest’anno i ricercatori hanno notato una nuova campagna dannosa relativa al malware ChromeLoader, già noto nel campo della cybersecurity. Lo scopo principale di questo Trojan è installare un’estensione dannosa nel browser della vittima.

Questa estensione, a sua volta, visualizza pubblicità intrusive nel browser e falsifica i risultati di ricerca con collegamenti che portano a premi falsi, sondaggi, siti di incontri, giochi per adulti, software indesiderato e così via.

Quest’anno gli autori degli attacchi hanno utilizzato un’ampia varietà di contenuti piratati come esca per far installare ChromeLoader alle vittime. Ad esempio, a febbraio 2023, i ricercatori hanno segnalato la diffusione di ChromeLoader tramite file VHD (un formato di immagine del disco) camuffati da giochi piratati o “crack” di giochi. Tra i giochi utilizzati dai distributori c’erano Elden Ring, ROBLOX, Dark Souls 3, Red Dead Redemption 2, Need for Speed, Call of Duty, Portal 2, Minecraft, Legend of Zelda, Pokemon, Mario Kart, Animal Crossing e altri. Come puoi immaginare, tutti questi file VHD contenevano il programma di installazione dell’estensione dannosa.

Pochi mesi dopo, a giugno 2023, un altro gruppo di ricercatori ha pubblicato un report approfondito sulle attività dello stesso ChromeLoader, dettagliandone la diffusione attraverso una rete di siti che offrono musica, film e ancora una volta giochi per computer piratati. In questa campagna, invece di contenuti autentici, venivano scaricati file VBScript nei computer delle vittime, che quindi caricavano e installavano l’estensione del browser dannosa.

Il malware ChromeLoader installa un'estensione del browser dannosa

Uno dei siti che ha distribuito il malware ChromeLoader con il pretesto di contenuti piratati. Fonte

Sebbene i risultati di ricerca alterati segnalino rapidamente alle vittime la presenza dell’estensione pericolosa nel browser, sbarazzarsene non è così facile. ChromeLoader non solo installa l’estensione dannosa, ma aggiunge al sistema anche script e attività dell’Utilità di pianificazione di Windows che reinstallano l’estensione a ogni riavvio del sistema.

Gli hacker leggono la corrispondenza di Gmail utilizzando un’estensione spia

A marzo 2023, l’Ufficio federale tedesco per la protezione della costituzione e l’Agenzia di intelligence nazionale sudcoreana hanno pubblicato un report congiunto sulle attività del gruppo di cybercriminali Kimsuky. Questo gruppo utilizza un’estensione infetta per i browser basati su Chromium (Google Chrome, Microsoft Edge e il browser sudcoreano Naver Whale) per leggere la corrispondenza Gmail delle loro vittime.

L’attacco inizia con l’invio di e-mail da parte degli autori a specifici individui di interesse. L’e-mail contiene un collegamento a un’estensione dannosa chiamata AF, insieme a una parte di testo per convincere la vittima a installare l’estensione. L’estensione inizia a funzionare quando la vittima apre Gmail nel browser in cui è installata. AF invia quindi automaticamente la corrispondenza della vittima al server di comando e controllo (C2) dell’hacker.

Kimsuky riesce così ad accedere al contenuto della casella di posta della vittima. Inoltre, non è necessario ricorrere ad alcun trucco per hackerare la casella di posta: l’autenticazione a due fattori viene semplicemente aggirata. Come ulteriore vantaggio, questo metodo consente ai criminali di eseguire qualsiasi operazione in modo molto discreto, in particolare impedendo a Google di inviare avvisi alla vittima sull’accesso all’account da un nuovo dispositivo o da una posizione sospetta, come accadrebbe in caso di furto della password.

Rilide: un’estensione dannosa che ruba criptovalute e aggira l’autenticazione a due fattori

I criminali utilizzano spesso anche estensioni dannose per colpire i wallet di criptovalute. In particolare, i creatori dell’estensione Rilide, scoperta per la prima volta ad aprile 2023, la utilizzano per tracciare le attività del browser relative alle criptovalute degli utenti infetti. Quando la vittima visita i siti in un elenco specificato, l’estensione dannosa ruba le informazioni sul wallet di criptovaluta, gli accessi e-mail e le password.

Inoltre, questa estensione raccoglie e invia la cronologia del browser al server C2 e consente agli aggressori di acquisire schermate. Ma la caratteristica più interessante di Rilide è la sua capacità di bypassare l’autenticazione a due fattori.

Quando l’estensione rileva che un utente sta per effettuare una transazione con criptovaluta su uno dei servizi online, inserisce uno script nella pagina che sostituisce la finestra di dialogo di immissione del codice di conferma, quindi ruba il codice. Il wallet del destinatario del pagamento viene sostituito con uno appartenente agli autori degli attacchi e infine l’estensione conferma la transazione utilizzando il codice rubato.

Promozione di Rilide con il pretesto di un gioco blockchain

In che modo l’estensione dannosa di Rilide è stata promossa su X (Twitter) con il pretesto di giochi blockchain. Fonte

Rilide attacca gli utenti dei browser basati su Chromium (Chrome, Edge, Brave e Opera) imitando un’estensione legittima di Google Drive per evitare sospetti. Rilide sembra essere venduta liberamente sul mercato nero, quindi viene utilizzata da criminali indipendenti tra loro. Per questo motivo sono stati scoperti vari metodi di distribuzione, da siti Web ed e-mail dannosi a programmi di installazione di giochi blockchain infetti promossi su Twitter X.

Uno dei metodi di distribuzione di Rilide particolarmente interessanti è stato attraverso una presentazione PowerPoint fuorviante. Questa presentazione si proponeva come una guida alla sicurezza per i dipendenti di Zendesk, ma in realtà era una guida passo passo per l’installazione dell’estensione dannosa.

Guida all'installazione di Rilide camuffata da presentazione sulla cybersecurity

Una guida passo passo per l’installazione dell’estensione dannosa, mascherata da presentazione sulla sicurezza per i dipendenti Zendesk. Fonte

Decine di estensioni dannose nel Chrome Web Store, con 87 milioni di download in totale

Naturalmente non possiamo dimenticare la storia dell’estate, in cui i ricercatori hanno scoperto diverse decine di estensioni dannose nel Google Chrome Web Store, che complessivamente hanno avuto più di 87 milioni di download dallo store. Si trattava di vari tipi di plug-in del browser: da strumenti per la conversione di file PDF e ad blocker a traduttori e VPN.

Le estensioni sono state aggiunte al Chrome Web Store già nel 2022 e nel 2021: quando sono state scoperte erano già presenti da diversi mesi, un anno o anche di più. Tra le recensioni delle estensioni, ci sono state alcune lamentele da parte di utenti che hanno riferito che le estensioni falsificavano i risultati di ricerca con annunci pubblicitari. Sfortunatamente, i moderatori del Chrome Web Store hanno ignorato questi reclami. Le estensioni dannose sono state rimosse dallo store solo dopo che due gruppi di ricercatori sulla sicurezza hanno portato il problema all’attenzione di Google.

Estensione dannosa Autoskip per YouTube nel Google Chrome Web Store

La più popolare delle estensioni dannose, Autoskip per YouTube, ha avuto oltre nove milioni di download dal Google Chrome Web Store. Fonte

Come proteggersi dalle estensioni dannose

Come puoi vedere, le estensioni del browser pericolose possono finire nel tuo computer da varie fonti, incluso il Google Chrome Web Store ufficiale. Gli autori degli attacchi possono usarle per una vasta gamma di scopi: dalla violazione degli account e dall’alterazione dei risultati di ricerca alla lettura della corrispondenza e al furto di criptovalute. Di conseguenza, è importante prendere precauzioni:

  • Cerca di evitare di installare estensioni del browser non necessarie. Meno estensioni hai nel browser, meglio è.
  • Se installi un’estensione, è meglio installarla da uno store ufficiale anziché da un sito Web sconosciuto. Questo non elimina completamente il rischio di imbattersi in estensioni pericolose, ma almeno il Google Chrome Web Store prende sul serio la sicurezza.
  • Prima dell’installazione, leggi le recensioni di un’estensione. Se c’è qualcosa che non va, qualcuno potrebbe averlo già notato e aver informato altri utenti.
  • Esamina periodicamente l’elenco delle estensioni installate nei browser. Rimuovi quelle che non usi, specialmente quelle che non ricordi di aver installato.
  • Assicurati di installare una protezione affidabile in tutti i tuoi dispositivi.
Consigli
Iscriviti per ricevere le nostre notizie via e-mail
  • Tutti gli altri paesi