{"id":27209,"date":"2022-09-20T11:31:24","date_gmt":"2022-09-20T09:31:24","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=27209"},"modified":"2022-09-20T11:31:24","modified_gmt":"2022-09-20T09:31:24","slug":"dangers-of-browser-extensions","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/dangers-of-browser-extensions\/27209\/","title":{"rendered":"Le estensioni del browser sono pi\u00f9 pericolose di quanto sembrano"},"content":{"rendered":"

Tutti abbiamo probabilmente installato almeno una volta un\u2019estensione per il browser, ad esempio, un ad-blocker, un traduttore online, un correttore ortografico o altro. Tuttavia, pochi di noi si fermano a pensare: \u201c\u00e8 sicuro?\u201d. Purtroppo queste estensioni, apparentemente innocue, possono essere molto pi\u00f9 pericolose di quanto non sembrino a prima vista. Oggi analizzeremo i pericoli che si celano dietro queste applicazioni e per farlo, utilizzeremo i dati contenuti nel recente report elaborato dai nostri esperti<\/a> sulle principali estensioni dannose per il browser.<\/p>\n

Cosa sono e cosa fanno le estensioni?<\/h2>\n

Iniziamo con la definizione di base e identifichiamo la radice del problema. Un\u2019estensione del browser \u00e8 un plug-in che aggiunge funzionalit\u00e0 al browser. Ad esempio, possono bloccare gli annunci pubblicitari sulle pagine web, prendere appunti, controllare l\u2019ortografia e molto altro ancora. Per i browser pi\u00f9 diffusi, esistono negozi ufficiali di estensioni che aiutano a selezionare, confrontare e installare i plug-in desiderati. Tuttavia, le estensioni possono essere installate anche da fonti non ufficiali.<\/p>\n

\u00c8 importante sottolineare che, per svolgere il proprio lavoro, un\u2019estensione deve avere il permesso di leggere e modificare il contenuto delle pagine web visualizzate nel browser. Se non gli diamo accesso, \u00e8 probabile che svolga il suo lavoro e sia tutto inutile.<\/p>\n

Nel caso di Google Chrome, le estensioni chiederanno il permesso di leggere e modificare tutti<\/strong> i dati dell\u2019utente su tutti<\/strong>\u00a0i siti web visitati. Pu\u00f2 sembrare una cosa non da poco, vero? Eppure, anche gli store ufficiali non prestano molta attenzione a questo aspetto.<\/p>\n

Ad esempio, nel Chrome Web Store ufficiale, la sezione sulle Norme di tutela della privacy<\/em> della popolare estensione Google Traduttore indica che l\u2019estensione raccoglie informazioni sulla posizione, sull\u2019attivit\u00e0 dell\u2019utente e sul contenuto del sito web. Ma il fatto che per funzionare abbia bisogno di accedere a tutti i dati, di tutti i siti web, non viene rivelato all\u2019utente finch\u00e9 non installa l\u2019estensione.<\/p>\n

\"L'estensione

L\u2019estensione di Google Traduttore chiede il permesso di \u201cleggere e modificare tutti i dati su tutti i siti web\u201d che visitate.<\/p><\/div>\n

Molti, se non la maggior parte degli utenti, probabilmente non leggeranno nemmeno il messaggio e faranno automaticamente click su aggiungi estensione<\/em>\u00a0per iniziare subito a utilizzare il plug-in. Tutto ci\u00f2 rappresenta un\u2019opportunit\u00e0 per i criminali informatici dato che ne approfittano per distribuire adware<\/a> e persino malware<\/a> sotto le sembianze di estensioni apparentemente innocue.<\/p>\n

Per quanto riguarda le estensioni adware, il diritto di alterare il contenuto visualizzato consente loro di mostrare annunci sui siti che l\u2019utente visita con frequenza. In questo caso, i creatori delle estensioni guadagnano soldi dagli utenti che cliccano sui link affiliati e tracciati che li portano verso i siti web degli inserzionisti. Per ottenere contenuti pubblicitari pi\u00f9 mirati, possono anche analizzare le query di ricerca e altri dati.<\/p>\n

Le conseguenze sono ancora peggiori quando si tratta di estensioni dannose. Se un hacker ha accesso ai contenuti di tutti i siti web visitati, potrebbe rubare i dati delle carte di credito<\/a>, i cookie e altre informazioni sensibili<\/a>. Esaminiamo alcuni esempi.<\/p>\n

Programmi dannosi per i file di Office<\/h2>\n

Negli ultimi anni, i criminali informatici hanno diffuso attivamente estensioni adware con funzionalit\u00e0 WebSearch dannose. Le estensioni appartenenti alla famiglia WebSearch sono solitamente camuffate da strumenti per modificare file di Office come, ad esempio, tool per la conversione da Word a PDF.<\/p>\n

La maggior parte di questi tool svolgono addirittura la funzione che dichiarano di svolgere. Ma poi, dopo l\u2019installazione, sostituiscono la consueta homepage del browser con un mini-sito con una barra di ricerca e link affiliati tracciati che portano a pagine di terze parti, come AliExpress o Farfetch.<\/p>\n

\"Pagina

Pagina iniziale del browser dopo aver scaricato una delle estensioni della famiglia WebSearch.<\/p><\/div>\n

Una volta installata, l\u2019estensione cambia anche il motore di ricerca predefinito in qualcosa chiamato search.myway. Ci\u00f2 consente ai criminali informatici di salvare e analizzare le query di ricerca degli utenti e di fornire loro link pi\u00f9 rilevanti in base ai loro interessi.<\/p>\n

Attualmente, le estensioni WebSearch non sono pi\u00f9 disponibili nello Chrome store ufficiale, ma \u00e8 ancora possibile scaricarle da risorse di terze parti.<\/p>\n

I componenti aggiuntivi adware che non vi lasceranno in pace<\/h2>\n

Gli add-on di tipo DealPly, un\u2019altra famiglia molto nota di estensioni adware, si intrufolano nei computer degli utenti generalmente insieme a contenuti pirata scaricati da siti di dubbia provenienza. Funzionano pi\u00f9 o meno come i plug-in di WebSearch.<\/p>\n

Anche le estensioni DealPly sostituiscono la homepage del browser con un minisito con link di affiliazione a piattaforme digitali popolari e, proprio come le estensioni WebSearch dannose, sostituiscono il motore di ricerca predefinito e analizzano le query di ricerca dell\u2019utente per creare annunci pi\u00f9 personalizzati.<\/p>\n

\"Homepage

Homepage del browser dopo aver scaricato una delle estensioni della famiglia DealPly.<\/p><\/div>\n

Inoltre, le estensioni della famiglia DealPly sono estremamente difficili da eliminare. Anche se l\u2019utente rimuove l\u2019estensione adware, questa si reinstalla sul dispositivo ogni volta che si apre il browser.<\/p>\n

AddScript che distribuiscono cookie indesiderati<\/h2>\n

Le estensioni della famiglia AddScript spesso si mascherano da strumenti per scaricare musica e video dai social o da gestori di server proxy. Tuttavia, oltre a questa funzionalit\u00e0, infettano il dispositivo della vittima con codice dannoso. In seguito, gli hacker utilizzano questo codice per visualizzare i video in background senza che l\u2019utente se ne accorga e guadagnano soldi grazie all\u2019aumento del numero di visualizzazioni.<\/p>\n

Un\u2019altra fonte di guadagno per i cybercriminali \u00e8 il download di cookie sul dispositivo delle vittime. In generale, i cookie vengono memorizzati sul dispositivo dell\u2019utente quando visita un sito web e possono essere utilizzati come una sorta di \u201ccontrassegno digitale\u201d. In una situazione normale, i siti di affiliazione promettono di indirizzare i clienti verso un sito legittimo. Per farlo, attirano gli utenti verso il loro sito, il che (sempre in una situazione normale) avviene tramite contenuti interessanti o utili. A quel punto, immagazzinano un cookie sul computer dell\u2019utente e lo inviano al sito target tramite un link. Utilizzando questo cookie, il sito capisce da dove proviene il nuovo cliente e paga al partner una commissione: a volte per il reindirizzamento stesso, a volte per una percentuale sugli acquisti effettuati e a volte per una determinata azione, come la registrazione.<\/p>\n

Gli autori di AddScript utilizzano un\u2019estensione dannosa che gli permette di approfittare di questo meccanismo. Invece di inviare i visitatori reali del sito web ai partner, scaricano molteplici cookie sui dispositivi infetti. Questi cookie servono come \u201ccontrassegno\u201d per il programma partner dei truffatori, e gli hacker di AddScript ricevono un compenso. In realt\u00e0, non attirano affatto nuovi clienti e la loro attivit\u00e0 di \u201cpartner\u201d consiste nell\u2019infettare i computer con queste estensioni dannose.<\/p>\n

FB Stealer, un ladro di cookie<\/h2>\n

FB Stealer, un\u2019altra famiglia di estensioni dannose, funziona in modo diverso. A differenza di AddScript, questa estensione non scarica \u201cfunzionalit\u00e0 extra\u201d sul dispositivo, ma rubano i cookie importanti. Analizziamo meglio come funziona.<\/p>\n

L\u2019estensione FB Stealer penetra nei dispositivi degli utenti insieme al Trojan NullMixer, che di solito viene scaricato dalle vittime quando cercano di scaricare un programma di installazione hackerato. Una volta installato, il trojan modifica il file utilizzato per memorizzare le impostazioni del browser Chrome, comprese le informazioni sulle estensioni.<\/p>\n

Poi, dopo essere stato attivato, FB Stealer finge di essere l\u2019estensione di Google Traduttore, in modo che gli utenti abbassino la guardia. L\u2019estensione sembra molto convincente, l\u2019unica pecca \u00e8 l\u2019avviso che informa del fatto che lo store ufficiale non contiene informazioni su tale estensione.<\/p>\n

\"Avviso

Avviso del browser secondo il quale lo store ufficiale non offre informazione sull\u2019estensione.<\/p><\/div>\n

Inoltre, questo tipo di estensioni sostituiscono anche il motore di ricerca predefinito del browser, ma questo non \u00e8 l\u2019aspetto pi\u00f9 sgradevole di queste estensioni. La funzione principale di FB Stealer \u00e8 quella di rubare i cookie di sessione agli utenti del pi\u00f9 grande social network del mondo, da cui prende appunto il nome. Si tratta degli stessi cookie che consentono di evitare di effettuare il login ogni volta che si visita un determinato sito e che permettono agli hacker di entrare senza password. Grazie a questa tecnica, dopo aver hackerato un account, i criminali informatici possono, ad esempio, inviare messaggi ad amici e parenti della vittima e chiedere loro denaro.<\/p>\n

Come proteggersi<\/h2>\n

Le estensioni del browser sono strumenti utili, ma \u00e8 importante installarle con cautela e tenere presente che non sono sempre cos\u00ec innocue come si potrebbe pensare. Quindi, vi suggeriamo di adottare le seguenti misure di sicurezza:<\/p>\n