Tre estensioni maligne di Chrome, spacciate per VPN (Virtual Private Networks), sono state scaricate 1,5 milioni di volte, agendo come dirottatori di browser, strumenti di cashback hack e ladri di dati.
Diffusione e Rimozione delle Estensioni
Secondo ReasonLabs, che ha scoperto le estensioni maligne, queste sono state diffuse tramite un installer nascosto in copie piratate di videogiochi popolari come Grand Theft Auto, Assassins Creed e The Sims 4, distribuiti da siti torrent. ReasonLabs ha informato Google delle sue scoperte, e il gigante tecnologico ha rimosso le estensioni offensive dal Chrome Web Store, ma solo dopo che queste avevano accumulato un totale di 1,5 milioni di download. In particolare, le estensioni maligne erano netPlus (1 milione di installazioni), netSave e netWin (500.000 installazioni).
Target e modalità di Installazione
La maggior parte delle infezioni si trova in Russia e in paesi come Ucraina, Kazakistan e Bielorussia, quindi la campagna sembra mirare agli utenti di lingua russa. L’installazione delle estensioni VPN è automatica e forzata, avviene a livello di registro e non coinvolge l’utente o richiede alcuna azione da parte della vittima.
Funzionalità e Abuso delle Estensioni
Le estensioni maligne utilizzano un’interfaccia utente VPN realistica con alcune funzionalità e un’opzione di abbonamento a pagamento per creare un senso di autenticità. L’analisi del codice mostra che l’estensione ha anche accesso a numerosi permessi, consentendo di eseguire script tramite l’API Offscreen e interagire in modo subdolo con il DOM (Document Object Model) della pagina web corrente. Questo ampio accesso al DOM consente alle estensioni di rubare dati sensibili dell’utente, dirottare la navigazione, manipolare le richieste web e persino disabilitare altre estensioni installate sul browser.
Un’altra funzione dell’estensione è disabilitare altre estensioni di cashback e coupon per eliminare la concorrenza sul dispositivo infetto e reindirizzare i profitti agli attaccanti. ReasonLabs riporta che il malware prende di mira oltre 100 estensioni di cashback.
Comunicazione con i Server C2
La comunicazione delle estensioni con i server C2 (command and control) implica lo scambio di dati riguardanti istruzioni e comandi, l’identificazione della vittima, l’esfiltrazione di dati sensibili e altro.
Implicazioni per la Sicurezza e Precauzioni
Questo rapporto evidenzia i massicci problemi di sicurezza intorno alle estensioni dei browser web, molte delle quali sono altamente offuscate per rendere più difficile determinare il comportamento che esibiscono. Per questo motivo, è consigliabile controllare regolarmente le estensioni installate nel proprio browser e verificare le nuove recensioni nel Chrome Web Store per vedere se altri segnalano comportamenti dannosi.