L’estensione di Chrome che ruba i vostri dati

6 Giu 2018
Minacce

Gli store di software (e i suoi proprietari come Google, Apple, Amazon etc.) devono combattere l’ondata di malware con lo stesso impegno di un’azienda che produce soluzioni di sicurezza informatica. È un processo circolare che, per sua stessa natura, non ha mai fine: i cybercriminali creano un malware che si insinua in uno store online, dove poi viene identificato, catalogato ed eliminato. Viene aggiornata la politica di sicurezza per evitare che l’incidente si ripeta e i cybercriminali escogitano un altro modo per far sì che la propria creazione riesca a eludere le nuove misure di sicurezza e possa intrufolarsi nuovamente nello store.

Consigliamo sempre di installare le app solo da fonti ufficiali, ma ciò non vuol dire che questi siti siano liberi totalmente dai malware; ce ne sono meno che altrove. E anche se Google Play sembra essere abbastanza sicuro, il Chrome Web Store è una piscina piena di piranha. Di recente, i nostri esperti hanno scoperto un’estensione dannosa che ha come obiettivo i dati bancari degli utenti.

Un Trojan banker nel vostro browser

Il colpevole è un’estensione dal nome “Desbloquear Conteúdo” (che in portoghese vuol dire “sblocca contenuti”) che perpetra un attacco man-in-the-middle. Quando l’utente visita il sito della banca, uno script dannoso reindirizza il traffico attraverso un server proxy appartenente ai cybercriminali, che possono così analizzare tutti i dati e prendere quelli vogliono.

Il malware contiene anche degli script creati per estrarre alcune informazioni digitate dagli utenti online. Ad esempio, quando l’utente entra nella pagina di accesso ai servizi bancari e digita i dati, il malware utilizza una sovrapposizione dello schermo che combacia perfettamente con l’interfaccia del sito della banca e può così appropriarsi di username, password e dei codici di conferma. Quando l’utente digita questi dati, il malware li copia e il gioco è fatto.

Il dominio su cui si trova il server C&C utilizza lo stesso indirizzo IP di altri domini già indicati nel passato come dannosi, ed è ciò che ha attirato l’attenzione dei ricercatori. Dopo che i sospetti sono stati confermati, gli esperti si sono messi in contatto con Google e il malware è stato immediatamente rimosso dal Chrome Web Store.

Durante l’installazione, le estensioni di Chrome richiedono alcune autorizzazioni che consentono di prendere praticamente il controllo del vostro computer. La maggior parte dei programmi dannosi hanno bisogno di una sola autorizzazione, quella di poter leggere e modificare i dati sui siti vistati: le potenzialità sono infinite.

Alla luce di quanto detto, fareste meglio a utilizzare le estensioni con grande cautela: spesso sono molto facili da installare ma nascondono intenzioni niente affatto innocue. E poi spesso pensiamo che le estensioni non possano avere chissà quanto potere e che non siano in grado di arrecare alcun danno all’utente.

Attenzione alle estensioni del vostro browser

Come proteggersi dalle estensioni dannose

È arrivato il momento di darvi qualche consiglio per evitare le estensioni ingannevoli:

  • Installate solo quelle estensioni che ritenete completamente di fiducia. Purtroppo, non esiste una prova del nove, superata la quale si può essere sicuri al 100%, ma almeno cercate di installare estensioni fornite da sviluppatori con una certa reputazione:
  • Non installate estensioni che non siano strettamente necessarie;
  • Se non avete più bisogno di una certa estensione, eliminatela. Potrete sempre reinstallarla nel caso vi serva di nuovo;
  • Avvaletevi di una soluzione di sicurezza affidabili come Kaspersky Internet Security. Analizziamo tutte le nuove estensioni di Chrome, anche le più recenti: i malware non potranno più nascondersi!