16 estensioni popolari di Chrome, tra cui 'Adblock for Chrome', sono state dirottate in un massiccio attacco informatico
Un'importante violazione della sicurezza ha compromesso oltre 3,2 milioni di utenti attraverso una rete di estensioni del browser dannose. Queste estensioni, che si presentano intenzionalmente come legittime, sono state trovate per iniettare script dannosi, rubare dati e persino impegnarsi in frodi sui motori di ricerca. I ricercatori di hanno determinato che l'attacco è stato eseguito attraverso una compromissione della catena di approvvigionamento, in cui gli aggressori si sono infiltrati in estensioni affidabili e hanno inviato aggiornamenti dannosi senza che gli utenti si rendessero conto di ciò che stava accadendo.
Le estensioni in questione erano state originariamente progettate per il blocco degli annunci, le tastiere emoji e la cattura dello schermo, per citarne alcune. Tuttavia, gli aggiornamenti hanno introdotto script offuscati che hanno permesso l'infiltrazione di dati non autorizzati, le modifiche delle richieste HTTP e l'iniezione di pubblicità nelle pagine web. Tutte queste modifiche sono rimaste inosservate agli utenti che in precedenza avevano concesso le autorizzazioni a queste estensioni, che hanno permesso agli aggressori di manipolare l'attività web in tempo reale. Diversi esperti di sicurezza hanno sottolineato che le autorizzazioni concesse a queste estensioni, tra cui l'accesso all'host e i controlli di scripting, le rendono particolarmente pericolose.
Ecco l'elenco completo di tutte le 16 estensioni Chrome interessate:
- Blipshot (screenshot a pagina intera con un clic)
- Emoji - Tastiera Emoji
- WAToolkit
- Cambiamento di colore per YouTube
- Effetti video per YouTube e Audio Enhancer
- Temi per Chrome e YouTube™ Immagine nell'immagine
- Mike Adblock per Chrome | Chrome-Werbeblocker
- Aggiornamento pagina
- Wistia Video Downloader
- Modalità Super Scura
- Tastiera Emoji per Chrome
- Adblocker per Chrome - NoAds
- Adblock per Lei
- Adblock per Chrome
- Cattura agile
- KProxy
Le indagini hanno ricondotto questo attacco ad account di sviluppatori compromessi. Alcuni sviluppatori hanno finito per trasferire inconsapevolmente il controllo delle loro estensioni agli aggressori, che poi hanno distribuito aggiornamenti dannosi attraverso i negozi ufficiali di estensioni del browser. L'infrastruttura di questo attacco sembra essere collegata a operazioni di phishing precedentemente conosciute. Gli attori delle minacce hanno ottenuto questo risultato sfruttando autorizzazioni come 'host_permissions', 'scripting' e 'declarativeNetRequest'.
Un altro aspetto preoccupante di questa campagna è la sua somiglianza con i precedenti attacchi alla catena di approvvigionamento, in cui gli aggressori si armano di software affidabili per diffondere il malware. L'uso dei meccanismi di aggiornamento delle estensioni del browser consente agli aggressori di aggirare le misure di sicurezza tradizionali.
Per ora, le estensioni identificate sono state rimosse dalle piattaforme ufficiali. In ogni caso, si consiglia agli utenti di non affidarsi esclusivamente alle recensioni positive sulle estensioni prima di installarne di nuove.
