Un’allarmante campagna malware, che ha infettato e compromesso almeno 16 estensioni di Google Chrome, sta mettendo a rischio i dati di oltre 600 mila utenti. Questa sofisticata operazione sta sfruttando una campagna di phishing per infiltrarsi negli account degli sviluppatori inserendo codice malevolo nelle loro estensioni legittime.
L’obiettivo di questo attacco è quello di sfruttare questa tecnica per l’installazione di malware all’interno delle estensioni legittime e così rubare cookie e token di accesso degli utenti. Ecco perché i dati di molti utenti, compreso te, sono in serio pericolo e quindi a rischio.
L’attacco è stato scoperto quando Cyberhaven, un’azienda di cybersicurezza, ha rivelato di essere stata vittima di questa compromissione il 27 dicembre scorso. Il codice maligno era stato iniettato nella loro estensione per comunicare con un server di comando e controllo (C&C) esterno, situato sul domino cyberhavenext[.]pro, con l’obiettivo di scaricare aggiuntivi ed estrarre i dati degli utenti.
Le estensioni di Chrome sono il “ventre molle” della sicurezza web
Or Eshed, CEO di LayerX Security, ha sottolineato che al momento le estensioni dei browser, in questo caso Chrome, ma anche altri, sono il “ventre molle” della sicurezza web. Queste vengono spesso sottovalutate, ma in realtà sono dotate di permessi su informazioni sensibili degli utenti.
Ecco l’elenco delle estensioni che attualmente sono sospettate di essere compromesse, con una brevissima descrizione delle loro reali funzioni.
- AI Assistant – ChatGPT e Gemini per Chrome: Assistente AI per Chrome basato su ChatGPT e Gemini.
- Bard AI Chat Extension: Estensione per chatbot AI di Google Bard.
- GPT 4 Summary with OpenAI: Strumento per generare riassunti utilizzando GPT-4.
- Search Copilot AI Assistant for Chrome: Assistente AI per migliorare le ricerche su Chrome.
- TinaMInd AI Assistant: Altro assistente AI per Chrome.
- Wayin AI: Strumento AI per varie funzioni nel browser.
- VPNCity: Servizio VPN per la navigazione anonima.
- Internxt VPN: Altra estensione VPN per la privacy online.
- Vindoz Flex Video Recorder: registratore video per il browser.
- VidHelper Video Downloader: Strumento per scaricare video dal web.
- Bookmark Favicon Changer: Personalizzatore di icone per i segnalibri.
- Castorus: Probabilmente un’estensione per la gestione dei segnalibri.
- Uvoice: Sembrerebbe un’estensione in grado di fornire un guadagno dalla risposta a sondaggi e altro.
- Reader Mode: Modalità di lettura per migliorare la leggibilità delle pagine web.
- Parrot Talks: possibile estensione per la traduzione o la sintesi vocale.
- Primus: Funzione non specificata, potrebbe essere un’estensione multiuso.
Impatto e conseguenze
Al momento, l’analisi del codice malevolo all’interno di queste estensioni Chrome ha rivelato che l’attacco mirava principalmente ai dati di identità e ai token di accesso degli account Facebook. L’attenzione principale sembrava essere rivolta agli account business.
Nonostante la rimozione delle versioni compromesse dal Chrome Web Store, gli esperti avvertono che il rischio persiste finché le versioni infette rimangono installate sui dispositivi degli utenti. Quindi, se hai una di queste estensioni installata sul tuo browser disinstallala subito e reinstalla la versione sana.
Scopri come installare o rimuovere le estensioni Google Chrome.
Questo attacco su larga scala ha evidenziato quanto sia necessaria una maggiore attenzione alla sicurezza delle estensioni del browser. Inoltre, le organizzazioni dovrebbero rivedere le loro politiche di gestione delle estensioni e gli utenti sono invitati a controllare e aggiornare regolarmente le proprie estensioni Chrome per mitigare potenziali rischi.
