{"id":28358,"date":"2023-12-21T12:38:31","date_gmt":"2023-12-21T10:38:31","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=28358"},"modified":"2023-12-21T12:38:31","modified_gmt":"2023-12-21T10:38:31","slug":"dangerous-browser-extensions-2023","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/dangerous-browser-extensions-2023\/28358\/","title":{"rendered":"Estensioni del browser pericolose"},"content":{"rendered":"

Scriviamo spesso sulle pagine di questo blog di come le estensioni del browser possono essere molto pericolose. Per illustrare questo fatto, abbiamo deciso di dedicargli un articolo. In questo post esamineremo i casi pi\u00f9 interessanti, insoliti, diffusi e pericolosi che hanno coinvolto estensioni dannose nel 2023. Vedremo anche di cosa erano capaci queste estensioni e, naturalmente, come proteggersi.<\/p>\n

Estensioni Roblox con backdoor<\/h2>\n

Per preparare il terreno ed evidenziare una delle maggiori preoccupazioni associate alle estensioni pericolose, partiamo da una storia che ha avuto inizio lo scorso anno. A novembre 2022 sono state scoperte<\/a> due estensioni dannose con lo stesso nome (SearchBlox) nel Chrome Web Store, lo store ufficiale delle estensioni per il browser Google Chrome. Una di queste estensioni ha avuto oltre 200.000 download.<\/p>\n

Lo scopo dichiarato delle estensioni era cercare un giocatore specifico nei server Roblox. Tuttavia, il loro vero scopo era quello di violare gli account dei giocatori Roblox e rubare le loro risorse di gioco. Dopo la pubblicazione<\/a> su BleepingComputer delle informazioni su queste estensioni dannose, queste sono state rimosse dal Chrome Web Store ed eliminate automaticamente dai dispositivi degli utenti che le avevano installate.<\/p>\n

\"SearchBlox:

Le estensioni dannose SearchBlox pubblicate nel Google Chrome Web Store violavano gli account dei giocatori Roblox. Fonte<\/a><\/p><\/div>\n

Tuttavia, la storia di Roblox non finisce qui. Ad agosto 2023 sono state scoperte altre due estensioni dannose di tipo simile, RoFinder e RoTracker<\/a>, nel Chrome Web Store. Proprio come SearchBlox, questi plug-in offrivano agli utenti la possibilit\u00e0 di cercare altri giocatori nei server Roblox, ma in realt\u00e0 nascondevano una backdoor. La community di utenti Roblox alla fine \u00e8 riuscita a rimuovere anche queste estensioni dallo store.<\/p>\n

\"RoTracker:

L\u2019estensione dannosa RoTracker, anch\u2019essa ospitata nel Google Chrome Web Store. Fonte<\/a><\/p><\/div>\n

Questo suggerisce che la qualit\u00e0 della moderazione nella piattaforma pi\u00f9 ufficiale al mondo per il download delle estensioni di Google Chrome lascia molto a desiderare ed \u00e8 abbastanza facile per i creatori di estensioni dannose inserire le proprie creazioni. Per convincere i moderatori a individuare le estensioni pericolose e a rimuoverle dallo store, le recensioni degli utenti interessati raramente sono sufficienti: spesso \u00e8 necessario impegno da parte dei media, dei ricercatori sulla sicurezza e\/o di una vasta community online.<\/p>\n

False estensioni ChatGPT che violano gli account Facebook<\/h2>\n

A marzo 2023 sono state scoperte<\/a> due estensioni dannose<\/a> nel Google Chrome Web Store a pochi giorni di distanza: entrambe sfruttavano il clamore che circondava il servizio di intelligenza artificiale ChatGPT. Una di queste era una copia infetta dell\u2019estensione legittima \u201cChatGPT per Google\u201d, che offriva l\u2019integrazione delle risposte di ChatGPT nei risultati dei motori di ricerca.<\/p>\n

L\u2019estensione infetta \u201cChatGPT per Google\u201d \u00e8 stata caricata nel Chrome Web Store il 14 febbraio 2023. I suoi creatori hanno aspettato un po\u2019 di tempo e hanno iniziato a diffonderla attivamente solo un mese dopo, il 14 marzo 2023, utilizzando gli annunci di Ricerca Google. I criminali sono riusciti ad attirare circa mille nuovi utenti al giorno, con oltre 9.000 download al momento della scoperta della minaccia.<\/p>\n

\"Versione

La versione infetta di \u201cChatGPT per Google\u201d assomigliava molto all\u2019originale. Fonte<\/a><\/p><\/div>\n

La copia con Trojan di \u201cChatGPT per Google\u201d funzionava esattamente come l\u2019originale, ma con funzionalit\u00e0 aggiuntive dannose: la versione infetta includeva codice progettato per rubare i cookie di sessione di Facebook memorizzati dal browser. Utilizzando questi file, gli autori degli attacchi erano in grado di violare gli account Facebook degli utenti che installavano l\u2019estensione infetta.<\/p>\n

Gli account compromessi potevano quindi essere utilizzati per scopi illegali. Ad esempio, i ricercatori hanno citato il caso di un account Facebook appartenente a un produttore di case mobili, che ha iniziato a promuovere contenuti dell\u2019ISIS dopo la violazione.<\/p>\n

\"Account

Dopo essere stato violato, l\u2019account Facebook ha iniziato a promuovere contenuti dell\u2019ISIS. Fonte<\/a><\/p><\/div>\n

Nell\u2019altro caso, i truffatori hanno creato un\u2019estensione completamente originale chiamata \u201cAccesso rapido a Chat GPT\u201d. Di fatto, l\u2019estensione manteneva effettivamente le promesse, operando come intermediario tra gli utenti e ChatGPT tramite l\u2019API ufficiale del servizio di intelligenza artificiale. Tuttavia, il suo vero scopo era ancora una volta quello di rubare i cookie di sessione di Facebook, consentendo ai creatori dell\u2019estensione di violare account aziendali di Facebook.<\/p>\n

\"Estensione

Estensione dannosa \u201cAccesso rapido a Chat GPT\u201d. Fonte<\/a><\/p><\/div>\n

La cosa pi\u00f9 interessante \u00e8 che per promuovere questa estensione dannosa, gli autori utilizzavano gli annunci di Facebook, pagati (hai indovinato) dagli account aziendali che avevano gi\u00e0 violato! Questo astuto schema ha permesso ai creatori di \u201cAccesso rapido a Chat GPT\u201d di attirare un paio di migliaia di nuovi utenti al giorno. Alla fine, entrambe le estensioni dannose sono state rimosse dallo store.<\/p>\n

ChromeLoader: contenuto piratato con estensioni dannose<\/h2>\n

Spesso i creatori di estensioni dannose non le inseriscono nel Google Chrome Web Store e le distribuiscono in altri modi. Ad esempio, all\u2019inizio di quest\u2019anno i ricercatori hanno notato una nuova campagna dannosa relativa al malware ChromeLoader, gi\u00e0 noto nel campo della cybersecurity. Lo scopo principale di questo Trojan \u00e8 installare un\u2019estensione dannosa nel browser della vittima.<\/p>\n

Questa estensione, a sua volta, visualizza pubblicit\u00e0 intrusive nel browser e falsifica i risultati di ricerca con collegamenti che portano a premi falsi, sondaggi, siti di incontri, giochi per adulti, software indesiderato e cos\u00ec via.<\/p>\n

Quest\u2019anno gli autori degli attacchi hanno utilizzato un\u2019ampia variet\u00e0 di contenuti piratati come esca per far installare ChromeLoader alle vittime. Ad esempio, a febbraio 2023<\/a>, i ricercatori hanno segnalato la diffusione di ChromeLoader tramite file VHD<\/a> (un formato di immagine del disco) camuffati da giochi piratati o \u201ccrack\u201d di giochi. Tra i giochi utilizzati dai distributori c\u2019erano Elden Ring, ROBLOX, Dark Souls 3, Red Dead Redemption 2, Need for Speed, Call of Duty, Portal 2, Minecraft, Legend of Zelda, Pokemon, Mario Kart, Animal Crossing e altri. Come puoi immaginare, tutti questi file VHD contenevano il programma di installazione dell\u2019estensione dannosa.<\/p>\n

Pochi mesi dopo, a giugno 2023<\/a>, un altro gruppo di ricercatori ha pubblicato un report approfondito sulle attivit\u00e0 dello stesso ChromeLoader, dettagliandone la diffusione attraverso una rete di siti che offrono musica, film e ancora una volta giochi per computer piratati. In questa campagna, invece di contenuti autentici, venivano scaricati file VBScript<\/a> nei computer delle vittime, che quindi caricavano e installavano l\u2019estensione del browser dannosa.<\/p>\n

\"Il

Uno dei siti che ha distribuito il malware ChromeLoader con il pretesto di contenuti piratati. Fonte<\/a><\/p><\/div>\n

Sebbene i risultati di ricerca alterati segnalino rapidamente alle vittime la presenza dell\u2019estensione pericolosa nel browser, sbarazzarsene non \u00e8 cos\u00ec facile. ChromeLoader non solo installa l\u2019estensione dannosa, ma aggiunge al sistema anche script e attivit\u00e0 dell\u2019Utilit\u00e0 di pianificazione di Windows che reinstallano l\u2019estensione a ogni riavvio del sistema.<\/p>\n

Gli hacker leggono la corrispondenza di Gmail utilizzando un\u2019estensione spia<\/h2>\n

A marzo 2023, l\u2019Ufficio federale tedesco per la protezione della costituzione e l\u2019Agenzia di intelligence nazionale sudcoreana hanno pubblicato<\/a> un report congiunto sulle attivit\u00e0 del gruppo di cybercriminali Kimsuky<\/a>. Questo gruppo utilizza un\u2019estensione infetta per i browser basati su Chromium (Google Chrome, Microsoft Edge e il browser sudcoreano Naver Whale) per leggere la corrispondenza Gmail delle loro vittime.<\/p>\n

L\u2019attacco inizia con l\u2019invio di e-mail da parte degli autori a specifici individui di interesse. L\u2019e-mail contiene un collegamento a un\u2019estensione dannosa chiamata AF, insieme a una parte di testo per convincere la vittima a installare l\u2019estensione. L\u2019estensione inizia a funzionare quando la vittima apre Gmail nel browser in cui \u00e8 installata. AF invia quindi automaticamente la corrispondenza della vittima al server di comando e controllo (C2) dell\u2019hacker.<\/p>\n

Kimsuky riesce cos\u00ec ad accedere al contenuto della casella di posta della vittima. Inoltre, non \u00e8 necessario ricorrere ad alcun trucco per hackerare la casella di posta: l\u2019autenticazione a due fattori viene semplicemente aggirata. Come ulteriore vantaggio, questo metodo consente ai criminali di eseguire qualsiasi operazione in modo molto discreto, in particolare impedendo a Google di inviare avvisi alla vittima sull\u2019accesso all\u2019account da un nuovo dispositivo o da una posizione sospetta, come accadrebbe in caso di furto della password.<\/p>\n

Rilide: un\u2019estensione dannosa che ruba criptovalute e aggira l\u2019autenticazione a due fattori<\/h2>\n

I criminali utilizzano spesso anche estensioni dannose per colpire i wallet di criptovalute. In particolare, i creatori dell\u2019estensione Rilide, scoperta per la prima volta ad aprile 2023<\/a>, la utilizzano per tracciare le attivit\u00e0 del browser relative alle criptovalute degli utenti infetti. Quando la vittima visita i siti in un elenco specificato, l\u2019estensione dannosa ruba le informazioni sul wallet di criptovaluta, gli accessi e-mail e le password.<\/p>\n

Inoltre, questa estensione raccoglie e invia la cronologia del browser al server C2 e consente agli aggressori di acquisire schermate. Ma la caratteristica pi\u00f9 interessante di Rilide \u00e8 la sua capacit\u00e0 di bypassare l\u2019autenticazione a due fattori.<\/p>\n

Quando l\u2019estensione rileva che un utente sta per effettuare una transazione con criptovaluta su uno dei servizi online, inserisce uno script nella pagina che sostituisce la finestra di dialogo di immissione del codice di conferma, quindi ruba il codice. Il wallet del destinatario del pagamento viene sostituito con uno appartenente agli autori degli attacchi e infine l\u2019estensione conferma la transazione utilizzando il codice rubato.<\/p>\n

\"Promozione

In che modo l\u2019estensione dannosa di Rilide \u00e8 stata promossa su X (Twitter) con il pretesto di giochi blockchain. Fonte<\/a><\/p><\/div>\n

Rilide attacca gli utenti dei browser basati su Chromium (Chrome, Edge, Brave e Opera) imitando un\u2019estensione legittima di Google Drive per evitare sospetti. Rilide sembra essere venduta liberamente sul mercato nero, quindi viene utilizzata da criminali indipendenti tra loro. Per questo motivo sono stati scoperti vari metodi di distribuzione, da siti Web ed e-mail dannosi a programmi di installazione di giochi blockchain<\/a> infetti promossi su Twitter<\/span> X.<\/p>\n

Uno dei metodi di distribuzione di Rilide particolarmente interessanti \u00e8 stato attraverso una presentazione PowerPoint fuorviante<\/a>. Questa presentazione si proponeva come una guida alla sicurezza per i dipendenti di Zendesk, ma in realt\u00e0 era una guida passo passo per l\u2019installazione dell\u2019estensione dannosa.<\/p>\n

\"Guida

Una guida passo passo per l\u2019installazione dell\u2019estensione dannosa, mascherata da presentazione sulla sicurezza per i dipendenti Zendesk. Fonte<\/a><\/p><\/div>\n

Decine di estensioni dannose nel Chrome Web Store, con 87 milioni di download in totale<\/h2>\n

Naturalmente non possiamo dimenticare la storia dell\u2019estate, in cui i ricercatori hanno scoperto diverse decine di estensioni dannose<\/a> nel Google Chrome Web Store, che complessivamente hanno avuto pi\u00f9 di 87 milioni di download dallo store. Si trattava di vari tipi di plug-in del browser: da strumenti per la conversione di file PDF e ad blocker a traduttori e VPN.<\/p>\n

Le estensioni sono state aggiunte al Chrome Web Store gi\u00e0 nel 2022 e nel 2021: quando sono state scoperte erano gi\u00e0 presenti da diversi mesi, un anno o anche di pi\u00f9. Tra le recensioni delle estensioni, ci sono state alcune lamentele da parte di utenti che hanno riferito che le estensioni falsificavano i risultati di ricerca con annunci pubblicitari. Sfortunatamente, i moderatori del Chrome Web Store hanno ignorato questi reclami. Le estensioni dannose sono state rimosse dallo store solo dopo che due gruppi di ricercatori sulla sicurezza hanno portato il problema all\u2019attenzione di Google.<\/p>\n

\"Estensione

La pi\u00f9 popolare delle estensioni dannose, Autoskip per YouTube, ha avuto oltre nove milioni di download dal Google Chrome Web Store. Fonte<\/a><\/p><\/div>\n

Come proteggersi dalle estensioni dannose<\/h2>\n

Come puoi vedere, le estensioni del browser pericolose possono finire nel tuo computer da varie fonti, incluso il Google Chrome Web Store ufficiale. Gli autori degli attacchi possono usarle per una vasta gamma di scopi: dalla violazione degli account e dall\u2019alterazione dei risultati di ricerca alla lettura della corrispondenza e al furto di criptovalute. Di conseguenza, \u00e8 importante prendere precauzioni:<\/p>\n