La campagna AiFrame costruisce un inganno che sfrutta la fiducia nel brand “AI” e la comodità del browser. Nel Chrome Web Store compaiono estensioni apparentemente legittime, con nomi e icone che richiamano ChatGPT, Claude, Gemini e Grok, vendute come strumenti di produttività per riassunti, chat, scrittura assistita e perfino supporto Gmail. In realtà, il cuore dell’operazione non è l’estensione in sé, ma un sistema remoto: un iframe iniettato che carica l’interfaccia da server esterni e trasforma l’estensione in un proxy privilegiato capace di leggere, estrarre e trasmettere dati sensibili. Il dato che pesa è doppio. Da un lato, l’impatto numerico: oltre 260.000 utenti colpiti cumulativamente. Dall’altro, la qualità del modello: un’architettura che consente agli operatori di modificare la logica runtime senza dover pubblicare aggiornamenti nello store, aggirando così la visibilità tipica delle review e delle verifiche. È una forma di controllo “server-side” che rende la minaccia dinamica, adattiva e resiliente ai takedown.
La struttura della campagna AiFrame: 30 estensioni diverse, un solo backend
AiFrame non si presenta come una singola estensione sospetta. Si presenta come una costellazione. La campagna include circa 30 estensioni con nomi, branding e ID diversi, ma con un DNA comune: stesso codice JavaScript, stessi permessi, stessa logica e soprattutto la stessa infrastruttura backend, ricondotta a domini come tapnetic.pro e a un ecosistema di sottodomini tematici che imitano i servizi AI più noti. Questo design produce tre effetti pratici. Il primo è la scalabilità: un backend unico coordina molteplici punti di ingresso. Il secondo è la resilienza: se una estensione viene rimossa, le altre restano attive e continuano a raccogliere dati. Il terzo è la credibilità: alcune estensioni ricevono persino visibilità o “feature” nel negozio, aumentando installazioni e fiducia, perché l’utente tende a leggere quella vetrina come un segnale implicito di sicurezza.
La campagna adotta in modo sistematico la tattica dell’extension spraying. In pratica, quando lo store rimuove un’estensione, gli operatori ne ripubblicano altre con identità nuove, mantenendo la stessa architettura. Il concetto chiave è che non difendono un singolo asset: difendono un portafoglio di estensioni intercambiabili, come se fossero “istanze” di uno stesso servizio.
Il meccanismo chiave: iframe remoti come interfaccia e come canale di comando
Il punto tecnico che definisce AiFrame è l’uso di iframe remoti come nucleo dell’interfaccia utente. L’estensione inietta un overlay, spesso a schermo intero, che carica UI e logica da un dominio esterno, ad esempio un sottodominio del tipo claude.tapnetic.pro. Per l’utente è una sidebar o una finestra AI “normale”. Per l’attaccante è una console che può cambiare aspetto e funzioni in qualsiasi momento, senza passare per un update visibile nello store. Il passaggio critico è che l’iframe remoto non potrebbe, da solo, leggere contenuti del browser. Ma l’estensione sì. Ecco perché il modello è potente: l’iframe invia istruzioni, l’estensione esegue con privilegi, e i dati tornano al server remoto. In pratica, l’estensione diventa un broker di accesso tra il web e un backend non fidato, rompendo le aspettative dell’utente sulla separazione tra “pagina” e “applicazione”.
Raccolta dati: pagine web, telemetria e contenuti autenticati
Una volta installata, l’estensione può accedere a funzioni sensibili perché l’utente concede permessi ampi, spesso senza comprendere la portata di frasi come “leggere e modificare i dati sui siti che visiti” o “accedere alla scheda attiva”. AiFrame sfrutta proprio questo: le estensioni interrogano la scheda attiva e, tramite content script, estraggono contenuti dalla pagina e dal DOM. Per rendere i dati più “utili” al backend, la campagna usa una logica di estrazione strutturata, arrivando a impiegare librerie come Readability di Mozilla per ricavare titoli, testo principale, estratti e metadati. Questo è un dettaglio operativo importante: non stanno catturando solo screenshot o blob grezzi, stanno trasformando le pagine in contenuto pronto per analisi e riuso. E poiché l’estrazione avviene nel browser dell’utente, può includere anche pagine autenticate o contenuti visibili solo dopo login. A questo si aggiunge la raccolta di telemetria. La campagna invia eventi di installazione e disinstallazione a servizi di analytics terzi tramite script di tracciamento. È un livello che serve a misurare la “salute” dell’operazione: retention, funnel, efficacia dei nomi e dei branding, e quindi iterazione rapida.
Un fronte specifico: Gmail come obiettivo ad alto valore
AiFrame non si limita a pagine generiche. Una parte della campagna punta esplicitamente a Gmail, con un cluster di circa 15 estensioni dedicate. Qui la logica è più aggressiva perché l’obiettivo è chiaro: email e contenuti in scrittura. Queste estensioni eseguono script di contenuto su mail.google.com molto presto nel ciclo di caricamento. Iniettano UI nel DOM e mantengono la persistenza con MutationObserver e meccanismi di polling, in modo che l’iniezione sopravviva ai cambiamenti dinamici dell’interfaccia Gmail. Poi leggono i contenuti visibili attraverso proprietà come .textContent nelle viste di conversazione, catturando thread, bozze, e persino testi in composizione, e li trasmettono al backend remoto. Il passaggio più delicato è che questo non “buca” Gmail a livello server. Sfrutta il fatto che il contenuto è già nel browser, e quindi può essere letto da uno script con permessi. Per un’organizzazione, il rischio diventa immediato: una singola estensione può trasformare un endpoint in un punto di esfiltrazione “silenziosa” di posta e conversazioni, senza bisogno di malware classico.
Infrastruttura: tapnetic.pro come hub, sottodomini tematici e copertura marketing
L’infrastruttura indicata ruota attorno a tapnetic.pro, con un comportamento tipico delle operazioni mature: il dominio principale appare come un sito “generico”, con contenuti di marketing che fungono da copertura, mentre le attività reali avvengono nei sottodomini. Questa separazione riduce l’impatto di una scoperta: se un sottodominio viene bloccato o segnalato, gli operatori possono ruotare o sostituire, mantenendo la stessa architettura.
Viene citato anche un dominio correlato come onlineapp.pro, e un set di email usate per registrare e ripubblicare estensioni. La rotazione di identità, tra nomi, ID ed email, è coerente con l’obiettivo primario: evitare un singolo punto di failure e mantenere viva la campagna anche dopo rimozioni.
Evasione: extension spraying e aggiornamenti “silenziosi” fuori dallo store
AiFrame combina due leve che, insieme, spiegano la longevità. La prima è l’extension spraying, cioè la pubblicazione di molte estensioni simili, pronte a sostituirsi. La seconda è l’aggiornamento server-side tramite iframe remoto, che consente agli operatori di cambiare funzioni e interfaccia senza un nuovo upload. Questo è il punto che cambia la percezione dell’utente. Normalmente, l’utente pensa che un’estensione sia “quella versione” finché non aggiorna. Qui no. Qui l’estensione è un contenitore che richiama capacità variabili. L’effetto è che anche un’analisi statica dello store può diventare insufficiente: ciò che hai revisionato ieri non è necessariamente ciò che sta operando oggi.
Indicatori e segnali pratici: cosa rende riconoscibile la campagna
Il segnale più netto non è solo “un nome sospetto”, perché la campagna sfrutta nomi plausibili come AI Assistant, Gemini AI Sidebar e varianti simili. Il pattern è la combinazione tra permessi ampi, presenza di iframe remoti, comunicazioni verso domini come tapnetic.pro e l’uso di sottodomini tematici che imitano brand AI. Nel contesto aziendale, un altro indicatore comportamentale è il traffico in uscita verso domini non approvati associati a estensioni, soprattutto quando coincide con attività su Gmail o su pagine che contengono dati riservati. Se un browser comincia a generare richieste verso sottodomini “AI” mentre l’utente legge posta o documenti interni, la correlazione diventa investigabile subito.
Impatto e priorità difensive: browser come endpoint ad alto rischio
AiFrame fotografa un cambio di equilibrio: il browser non è più soltanto un client, è un endpoint ad alta densità di dati. Le estensioni sono un livello di privilegi che, se abusato, trasforma ogni sessione web in una superficie di esfiltrazione. E la promessa “produttività AI” diventa un acceleratore sociale, perché spinge utenti e team a installare plugin in modo impulsivo. Per le organizzazioni, la risposta reale passa da policy e controllo, non da consigli generici. Un ambiente gestito deve trattare le estensioni come software: inventario, allowlist, revisione dei permessi, e capacità di rilevare quando un’estensione cambia comportamento post-installazione. Per gli utenti, la regola pratica è ridurre la quantità di estensioni, diffidare di quelle che promettono “AI ovunque” e verificare con attenzione permessi e publisher, perché il danno non è teorico: può essere la perdita di contenuti email, testi in bozza, pagine autentic ate e informazioni che non dovrebbero mai uscire dal perimetro del browser.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
