Una vasta rete di 152 estensioni Chrome apparentemente innocue dedicate a sfondi animati e personalizzazione delle nuove schede è stata identificata dai ricercatori di Socket Security come parte di un sistema progettato per manipolare le metriche di traffico organico di Google e raccogliere informazioni sugli utenti a fini pubblicitari. Sebbene le estensioni dichiarino sul Chrome Web Store di non raccogliere dati personali, l’analisi del codice mostra un comportamento ben diverso, caratterizzato da meccanismi di tracciamento, falsificazione dell’attribuzione del traffico e funzionalità anti-forensi. La campagna coinvolge circa 105.000 installazioni e si sviluppa attraverso decine di account publisher differenti, una strategia che rende più difficile la rimozione coordinata dell’intera infrastruttura. Il caso rappresenta uno degli esempi più significativi di come estensioni apparentemente innocue possano essere utilizzate per manipolare ecosistemi pubblicitari e raccogliere dati senza un consenso realmente informato.
Cosa leggere
Una rete composta da 152 estensioni distribuite da 38 publisher
L’indagine di Socket Security ha evidenziato che tutte le estensioni appartengono a una singola famiglia software costruita a partire da un codebase condiviso. Sebbene vengano pubblicate da 38 account differenti, le estensioni mostrano strutture identiche, logiche di funzionamento comuni e pattern di sviluppo riconducibili a un’unica organizzazione. La distribuzione frammentata attraverso numerosi publisher permette agli operatori di ridurre il rischio di rimozione simultanea e di mantenere attiva l’infrastruttura anche nel caso in cui alcuni account vengano sospesi. Le estensioni risultano associate principalmente ai brand tabplugins.com, yowgames.com e chromewallpaper.com, siti che fungono da punto centrale per la monetizzazione del traffico generato. L’analisi del codice mostra inoltre evidenti segnali di produzione industriale, con errori di sintassi, cartelle incomplete e risorse mancanti che suggeriscono la creazione automatizzata di decine di varianti a partire dallo stesso template.
Le estensioni non cambiano il motore di ricerca ma sfruttano Google
A differenza di molte campagne adware tradizionali, queste estensioni non modificano direttamente il motore di ricerca predefinito del browser. Richiedono esclusivamente il permesso search, una scelta che riduce la percezione di rischio da parte degli utenti e facilita l’approvazione sul Chrome Web Store. Dietro questa apparente semplicità si nasconde però una logica più sofisticata. Ogni volta che viene aperta una nuova scheda, l’estensione invia richieste verso endpoint Google utilizzando il servizio s2/favicons, trasmettendo indirettamente informazioni relative ai siti memorizzati tra i preferiti dell’utente. Questa attività permette agli operatori di ottenere dati utili sulle abitudini di navigazione senza ricorrere a tecniche più invasive che potrebbero attirare l’attenzione dei sistemi di rilevamento automatico.
Il traffico organico di Google viene falsificato deliberatamente
La parte più interessante dell’operazione riguarda il meccanismo di manipolazione delle metriche di traffico. Secondo i ricercatori, almeno 54 estensioni appartenenti alla generazione più recente implementano sistemi specificamente progettati per far apparire visite artificiali come traffico organico proveniente da Google. Durante l’installazione, l’estensione apre automaticamente una scheda verso il sito del proprio brand includendo parametri come utm_source=google e utm_medium=organic. In questo modo la visita viene registrata dai sistemi di analytics come proveniente da una ricerca naturale, quando in realtà è stata generata direttamente dall’estensione. Questo artificio consente agli operatori di aumentare artificialmente il valore percepito del traffico e migliorare le metriche utilizzate dagli inserzionisti per valutare la qualità di un sito web.
La manipolazione continua anche durante la disinstallazione
Le tecniche utilizzate non si limitano alla fase di installazione. Al momento della rimozione dell’estensione entra in funzione un secondo meccanismo basato sull’API chrome.runtime.setUninstallURL. Questa funzione permette di aprire automaticamente un indirizzo web quando l’utente disinstalla il componente. Le estensioni analizzate sfruttano questa possibilità inviando richieste verso URL wrapper di Google basati sul percorso google.com/url. Gli indirizzi contengono parametri come ved e usg, normalmente associati ai clic provenienti dai risultati di ricerca. Grazie a questa simulazione, anche il traffico generato durante la disinstallazione viene registrato come traffico organico legittimo. Il risultato finale è una sistematica alterazione dei dati di attribuzione utilizzati dagli strumenti di analytics e dalle piattaforme pubblicitarie per misurare le performance delle campagne online.
Le dichiarazioni sul Chrome Web Store non corrispondono alla realtà
Un aspetto particolarmente problematico riguarda la discrepanza tra le dichiarazioni pubblicate sul Chrome Web Store e il comportamento effettivo delle estensioni. Tutti i componenti analizzati dichiarano esplicitamente di non raccogliere, memorizzare o condividere dati personali degli utenti. Tuttavia la documentazione sulla privacy collegata agli stessi prodotti racconta una storia differente.
Le policy ammettono infatti la raccolta di informazioni come indirizzi IP, provider di connettività, conteggi dei clic, dati di referral e informazioni utilizzate per finalità pubblicitarie. I documenti indicano inoltre la condivisione di tali dati con partner come Google AdSense, DoubleClick e altre piattaforme di advertising. Questa contraddizione rappresenta una potenziale violazione delle regole del Chrome Web Store e mette in discussione l’affidabilità delle informazioni fornite agli utenti durante l’installazione.
Un meccanismo anti-forense nascosto nel codice
Tutte le 152 estensioni condividono un’ulteriore caratteristica che ha attirato l’attenzione dei ricercatori: la presenza di una routine progettata per cancellare automaticamente tutti i database IndexedDB disponibili ogni volta che il service worker viene avviato. Il codice esegue una scansione completa dei database presenti e ne avvia immediatamente l’eliminazione. Nella configurazione attuale questa funzione non produce effetti significativi perché le estensioni utilizzano principalmente localStorage per conservare le informazioni operative. Tuttavia la presenza di una routine anti-forense di questo tipo suggerisce una progettazione orientata alla cancellazione delle tracce e potrebbe essere sfruttata in versioni future per eliminare evidenze utili alle attività di analisi. La semplice presenza di una funzione simile in un’estensione destinata alla gestione di wallpaper rappresenta già di per sé un elemento anomalo e difficilmente giustificabile.
Il modello economico ruota attorno alla pubblicità
A differenza di molte campagne adware tradizionali, queste estensioni non iniettano banner pubblicitari nelle pagine visitate dagli utenti e non modificano direttamente l’esperienza di navigazione. Il loro obiettivo principale consiste nell’aumentare il traffico verso siti controllati dagli operatori, che monetizzano successivamente attraverso piattaforme pubblicitarie.
I domini tabplugins.com, yowgames.com e owhit.com, accessibile anche tramite chromewallpaper.com, utilizzano infrastrutture basate su Google Ad Manager, Google AdSense e sistemi di header bidding Prebid. Più elevato appare il traffico organico registrato da questi siti, maggiore risulta il valore attribuito dagli inserzionisti e dagli intermediari pubblicitari. La manipolazione dell’attribuzione diventa quindi uno strumento per incrementare artificialmente la redditività dell’intero ecosistema.
Un esempio di abuso delle piattaforme di estensioni
L’operazione individuata da Socket Security mostra come il modello di distribuzione delle estensioni browser continui a rappresentare un bersaglio privilegiato per attività di monetizzazione aggressive e pratiche opache di raccolta dati. La combinazione di tracking pubblicitario, falsificazione del traffico organico, dichiarazioni ingannevoli e funzionalità anti-forensi trasforma queste estensioni in qualcosa di molto diverso da semplici strumenti di personalizzazione grafica. Gli utenti che utilizzano componenti associati ai domini tabplugins.com, yowgames.com o chromewallpaper.com dovrebbero valutarne attentamente la rimozione e verificare le autorizzazioni concesse. Per gli analisti di sicurezza, invece, questa campagna offre indicatori chiari da monitorare, tra cui l’uso di setUninstallURL verso wrapper Google, l’apertura automatica di schede con parametri utm_source=google&utm_medium=organic e la cancellazione sistematica dei database IndexedDB all’avvio del service worker. In un ecosistema dove le estensioni hanno accesso privilegiato al browser, anche funzionalità apparentemente innocue possono trasformarsi in strumenti capaci di alterare dati, raccogliere informazioni e generare profitti attraverso pratiche che gli utenti raramente percepiscono.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
