estensioni
Tutti abbiamo probabilmente installato almeno una volta un’estensione per il browser, ad esempio, un ad-blocker, un traduttore online, un correttore ortografico o altro. Tuttavia, pochi di noi si fermano a pensare: “è sicuro?”. Purtroppo queste estensioni, apparentemente innocue, possono essere molto più pericolose di quanto non sembrino a prima vista. Oggi analizzeremo i pericoli che si celano dietro queste applicazioni e per farlo, utilizzeremo i dati contenuti nel recente report elaborato dai nostri esperti sulle principali estensioni dannose per il browser.
Cosa sono e cosa fanno le estensioni?
Iniziamo con la definizione di base e identifichiamo la radice del problema. Un’estensione del browser è un plug-in che aggiunge funzionalità al browser. Ad esempio, possono bloccare gli annunci pubblicitari sulle pagine web, prendere appunti, controllare l’ortografia e molto altro ancora. Per i browser più diffusi, esistono negozi ufficiali di estensioni che aiutano a selezionare, confrontare e installare i plug-in desiderati. Tuttavia, le estensioni possono essere installate anche da fonti non ufficiali.
È importante sottolineare che, per svolgere il proprio lavoro, un’estensione deve avere il permesso di leggere e modificare il contenuto delle pagine web visualizzate nel browser. Se non gli diamo accesso, è probabile che svolga il suo lavoro e sia tutto inutile.
Nel caso di Google Chrome, le estensioni chiederanno il permesso di leggere e modificare tutti i dati dell’utente su tutti i siti web visitati. Può sembrare una cosa non da poco, vero? Eppure, anche gli store ufficiali non prestano molta attenzione a questo aspetto.
Ad esempio, nel Chrome Web Store ufficiale, la sezione sulle Norme di tutela della privacy della popolare estensione Google Traduttore indica che l’estensione raccoglie informazioni sulla posizione, sull’attività dell’utente e sul contenuto del sito web. Ma il fatto che per funzionare abbia bisogno di accedere a tutti i dati, di tutti i siti web, non viene rivelato all’utente finché non installa l’estensione.
L’estensione di Google Traduttore chiede il permesso di “leggere e modificare tutti i dati su tutti i siti web” che visitate.
Molti, se non la maggior parte degli utenti, probabilmente non leggeranno nemmeno il messaggio e faranno automaticamente click su aggiungi estensione per iniziare subito a utilizzare il plug-in. Tutto ciò rappresenta un’opportunità per i criminali informatici dato che ne approfittano per distribuire adware e persino malware sotto le sembianze di estensioni apparentemente innocue.
Per quanto riguarda le estensioni adware, il diritto di alterare il contenuto visualizzato consente loro di mostrare annunci sui siti che l’utente visita con frequenza. In questo caso, i creatori delle estensioni guadagnano soldi dagli utenti che cliccano sui link affiliati e tracciati che li portano verso i siti web degli inserzionisti. Per ottenere contenuti pubblicitari più mirati, possono anche analizzare le query di ricerca e altri dati.
Le conseguenze sono ancora peggiori quando si tratta di estensioni dannose. Se un hacker ha accesso ai contenuti di tutti i siti web visitati, potrebbe rubare i dati delle carte di credito, i cookie e altre informazioni sensibili. Esaminiamo alcuni esempi.
Programmi dannosi per i file di Office
Negli ultimi anni, i criminali informatici hanno diffuso attivamente estensioni adware con funzionalità WebSearch dannose. Le estensioni appartenenti alla famiglia WebSearch sono solitamente camuffate da strumenti per modificare file di Office come, ad esempio, tool per la conversione da Word a PDF.
La maggior parte di questi tool svolgono addirittura la funzione che dichiarano di svolgere. Ma poi, dopo l’installazione, sostituiscono la consueta homepage del browser con un mini-sito con una barra di ricerca e link affiliati tracciati che portano a pagine di terze parti, come AliExpress o Farfetch.
Pagina iniziale del browser dopo aver scaricato una delle estensioni della famiglia WebSearch.
Una volta installata, l’estensione cambia anche il motore di ricerca predefinito in qualcosa chiamato search.myway. Ciò consente ai criminali informatici di salvare e analizzare le query di ricerca degli utenti e di fornire loro link più rilevanti in base ai loro interessi.
Attualmente, le estensioni WebSearch non sono più disponibili nello Chrome store ufficiale, ma è ancora possibile scaricarle da risorse di terze parti.
I componenti aggiuntivi adware che non vi lasceranno in pace
Gli add-on di tipo DealPly, un’altra famiglia molto nota di estensioni adware, si intrufolano nei computer degli utenti generalmente insieme a contenuti pirata scaricati da siti di dubbia provenienza. Funzionano più o meno come i plug-in di WebSearch.
Anche le estensioni DealPly sostituiscono la homepage del browser con un minisito con link di affiliazione a piattaforme digitali popolari e, proprio come le estensioni WebSearch dannose, sostituiscono il motore di ricerca predefinito e analizzano le query di ricerca dell’utente per creare annunci più personalizzati.
Homepage del browser dopo aver scaricato una delle estensioni della famiglia DealPly.
Inoltre, le estensioni della famiglia DealPly sono estremamente difficili da eliminare. Anche se l’utente rimuove l’estensione adware, questa si reinstalla sul dispositivo ogni volta che si apre il browser.
AddScript che distribuiscono cookie indesiderati
Le estensioni della famiglia AddScript spesso si mascherano da strumenti per scaricare musica e video dai social o da gestori di server proxy. Tuttavia, oltre a questa funzionalità, infettano il dispositivo della vittima con codice dannoso. In seguito, gli hacker utilizzano questo codice per visualizzare i video in background senza che l’utente se ne accorga e guadagnano soldi grazie all’aumento del numero di visualizzazioni.
Un’altra fonte di guadagno per i cybercriminali è il download di cookie sul dispositivo delle vittime. In generale, i cookie vengono memorizzati sul dispositivo dell’utente quando visita un sito web e possono essere utilizzati come una sorta di “contrassegno digitale”. In una situazione normale, i siti di affiliazione promettono di indirizzare i clienti verso un sito legittimo. Per farlo, attirano gli utenti verso il loro sito, il che (sempre in una situazione normale) avviene tramite contenuti interessanti o utili. A quel punto, immagazzinano un cookie sul computer dell’utente e lo inviano al sito target tramite un link. Utilizzando questo cookie, il sito capisce da dove proviene il nuovo cliente e paga al partner una commissione: a volte per il reindirizzamento stesso, a volte per una percentuale sugli acquisti effettuati e a volte per una determinata azione, come la registrazione.
Gli autori di AddScript utilizzano un’estensione dannosa che gli permette di approfittare di questo meccanismo. Invece di inviare i visitatori reali del sito web ai partner, scaricano molteplici cookie sui dispositivi infetti. Questi cookie servono come “contrassegno” per il programma partner dei truffatori, e gli hacker di AddScript ricevono un compenso. In realtà, non attirano affatto nuovi clienti e la loro attività di “partner” consiste nell’infettare i computer con queste estensioni dannose.
FB Stealer, un ladro di cookie
FB Stealer, un’altra famiglia di estensioni dannose, funziona in modo diverso. A differenza di AddScript, questa estensione non scarica “funzionalità extra” sul dispositivo, ma rubano i cookie importanti. Analizziamo meglio come funziona.
L’estensione FB Stealer penetra nei dispositivi degli utenti insieme al Trojan NullMixer, che di solito viene scaricato dalle vittime quando cercano di scaricare un programma di installazione hackerato. Una volta installato, il trojan modifica il file utilizzato per memorizzare le impostazioni del browser Chrome, comprese le informazioni sulle estensioni.
Poi, dopo essere stato attivato, FB Stealer finge di essere l’estensione di Google Traduttore, in modo che gli utenti abbassino la guardia. L’estensione sembra molto convincente, l’unica pecca è l’avviso che informa del fatto che lo store ufficiale non contiene informazioni su tale estensione.
Avviso del browser secondo il quale lo store ufficiale non offre informazione sull’estensione.
Inoltre, questo tipo di estensioni sostituiscono anche il motore di ricerca predefinito del browser, ma questo non è l’aspetto più sgradevole di queste estensioni. La funzione principale di FB Stealer è quella di rubare i cookie di sessione agli utenti del più grande social network del mondo, da cui prende appunto il nome. Si tratta degli stessi cookie che consentono di evitare di effettuare il login ogni volta che si visita un determinato sito e che permettono agli hacker di entrare senza password. Grazie a questa tecnica, dopo aver hackerato un account, i criminali informatici possono, ad esempio, inviare messaggi ad amici e parenti della vittima e chiedere loro denaro.
Come proteggersi
Le estensioni del browser sono strumenti utili, ma è importante installarle con cautela e tenere presente che non sono sempre così innocue come si potrebbe pensare. Quindi, vi suggeriamo di adottare le seguenti misure di sicurezza:
- Scaricate le estensioni solo da fonti ufficiali. Ricordate che questa non è una garanzia di sicurezza assoluta: ogni tanto qualche estensione pericolosa riesce a penetrare negli store ufficiali. Tuttavia, queste piattaforme di solito ci tengono alla sicurezza degli utenti e rimuovono le estensioni dannose.
- Non installate troppe estensioni e controllate regolarmente l’elenco. Se nell’elenco appare qualche estensione che non avete installato voi stessi, è bene preoccuparsi.
- Utilizzate una soluzione di sicurezza affidabile.
Consigli