Se usi estensioni per nuove schede o sfondi animati, il primo passo è semplice: rimuovi quelle sospette e controlla subito motore di ricerca predefinito, permessi e impostazioni del browser. Un’operazione molto ampia ha infatti trasformato estensioni apparentemente innocue in uno strumento per simulare visite organiche, raccogliere telemetria e alterare i dati di attribuzione usati da piattaforme pubblicitarie e analitiche.
La campagna è stata costruita per sembrare legittima: le estensioni si presentavano come componenti per sfondi live e nuove schede, ma in realtà facevano parte di una rete coordinata distribuita su più account sviluppatore e domini di controllo. In totale, il cluster aveva ottenuto circa 105.000 installazioni, sfruttando la fiducia degli utenti e la scarsa attenzione ai dettagli delle schede del Chrome Web Store.
Cosa facevano queste estensioni
L’obiettivo non era solo mostrare contenuti decorativi. Le estensioni erano progettate per forzare traffico artificiale verso pagine specifiche e per farlo apparire come traffico organico proveniente da Google.
In pratica, il meccanismo si basava su due momenti chiave:
- all’installazione, l’estensione apriva una nuova scheda verso un dominio controllato dagli operatori con parametri che imitavano una visita da ricerca organica;
- alla disinstallazione, attivava un reindirizzamento mascherato da clic legittimo su un risultato Google, così da sembrare una navigazione umana autentica.
Questo tipo di frode è particolarmente insidioso perché non si limita a raccogliere dati: sporca le metriche di marketing, altera le statistiche di attribuzione e può far apparire più performante una campagna pubblicitaria o un dominio rispetto alla realtà.
Perché il comportamento era così difficile da notare
Le estensioni erano distribuite in modo frammentato su più account e backend separati, così da ridurre l’impatto di una singola rimozione. Inoltre, i domini usati per l’operazione erano divisi in brand diversi e infrastrutture differenti, rendendo più complicata l’analisi immediata della campagna.
Un altro elemento rilevante era la discrepanza tra ciò che le schede del marketplace dichiaravano e ciò che le policy esterne ammettevano. Mentre le pagine pubbliche affermavano che non venivano raccolti dati, la documentazione esterna indicava invece la registrazione di informazioni come indirizzi IP, dati dell’ISP, conteggi dei clic e referrer.
Per un utente comune, il segnale d’allarme non è quasi mai visibile a prima vista. L’icona può sembrare legittima, il nome può sembrare innocuo e le funzioni promesse possono apparire normali. Il problema è che il comportamento malevolo spesso avviene in background, senza finestre evidenti o richieste sospette.
Impatto sugli utenti e sulle aziende
Per gli utenti, il rischio principale è l’esposizione della propria navigazione a tracciamento non dichiarato e a reindirizzamenti indesiderati. Per le aziende, il danno è più ampio: dati analitici falsati, attribuzione compromessa, campagne pubblicitarie contaminate e decisioni di marketing basate su metriche non affidabili.
La campagna è particolarmente rilevante perché dimostra come le estensioni del browser possano essere usate non solo per rubare dati, ma anche per manipolare l’ecosistema pubblicitario. Se un sistema di analisi interpreta come “organico” ciò che in realtà è stato generato da software, l’intera catena di misurazione perde accuratezza.
Come proteggersi subito
Se hai installato estensioni legate a nuove schede, wallpaper animati o personalizzazioni del browser, controlla subito questi aspetti:
- elimina estensioni che non riconosci o che non usi più;
- verifica le autorizzazioni concesse, soprattutto accesso alla navigazione e ai dati dei siti;
- controlla il motore di ricerca predefinito e la pagina di nuova scheda;
- cancella eventuali estensioni che reindirizzano verso siti promozionali o sconosciuti;
- aggiorna Chrome all’ultima versione disponibile;
- esamina eventuali attività anomale nel browser, come schede aperte senza tua azione.
Per i team IT e SOC, la priorità è non basarsi solo sugli ID delle estensioni, perché possono essere sostituiti rapidamente. È più efficace cercare comportamenti ricorrenti e pattern di esecuzione, soprattutto nei browser gestiti aziendalmente.
Indicatori da monitorare
Tra gli elementi più utili per una caccia proattiva ci sono i seguenti segnali comportamentali:
- apertura forzata di nuove schede con parametri che imitano traffico organico;
- URL di disinstallazione che richiamano wrapper di Google apparentemente legittimi;
- routine di startup che enumerano e cancellano database IndexedDB;
- stringhe ripetute nel service worker o nel file di background;
- reindirizzamenti verso domini di atterraggio monetizzati con rete pubblicitaria.
Un dettaglio importante è che una parte della campagna includeva una routine anti-forense che tentava di cancellare i database IndexedDB all’avvio del service worker. Anche quando questa funzione non risultava utile per la logica interna dell’estensione, la sua presenza costante su molte varianti rappresentava un’impronta comportamentale molto utile per il rilevamento.
Cosa significa per il mercato delle estensioni
Questo caso mostra che il problema non riguarda solo i malware tradizionali, ma anche l’abuso di strumenti quotidiani e apparentemente innocui. Le estensioni del browser sono diventate un punto d’ingresso prezioso per chi vuole aggirare i controlli e creare traffico artificiale con una copertura superficiale di legittimità.
Per questo, la revisione delle estensioni installate dovrebbe far parte della normale igiene digitale, sia per gli utenti domestici sia per le organizzazioni. Una singola estensione può influire su privacy, navigazione, attribution tracking e persino sui report finanziari collegati alla pubblicità online.
Technical Deep Dive
L’operazione ruotava attorno a tre backend principali e a una struttura distribuita su più publisher, una scelta che riduceva la fragilità operativa e complicava i takedown coordinati. Il modello più sofisticato era quello associato al brand TabPlugins, usato in molte delle 54 estensioni più aggressive dal punto di vista della manipolazione del traffico.
Nel flusso di installazione, il service worker eseguiva richieste hardcoded verso un dominio controllato dagli operatori, aggiungendo parametri come utm_source=google&utm_medium=organic per presentare la visita come traffico organico. Questo tipo di schema è particolarmente efficace contro sistemi che classificano automaticamente i referrer e i parametri UTM nelle pipeline di analisi.
Il meccanismo di disinstallazione era ancora più interessante dal punto di vista tecnico. La funzione setUninstallURL veniva usata per invocare un wrapper google.com/url con token di redirect simili a quelli impiegati da Google nei link firmati. Il risultato era un ping in uscita che poteva essere interpretato come clic reale da una SERP, anziché come chiamata automatizzata proveniente da un’estensione.
Un altro elemento utile per la detection era la presenza di una routine di pulizia deleteDatabase() che iterava su tutti i database IndexedDB nel momento dell’avvio del service worker. Anche se alcune varianti memorizzavano lo stato in localStorage, rendendo la cancellazione di IndexedDB sostanzialmente irrilevante per la funzionalità dell’estensione, il frammento di codice rimaneva un indicatore stabile e ripetuto tra molte copie del cluster.
Per i controlli difensivi, il valore maggiore non risiede in singole stringhe isolate ma nella combinazione di eventi: onInstalled che apre landing page con parametri organici, onUninstall che punta a URL wrapper di Google e startup del worker con enumerazione e cancellazione di database. Questa triade, unita a domini backend ricorrenti e a redirect finali verso pagine monetizzate, offre una base concreta per regole di hunting, correlazioni SIEM e controlli estesi sui browser aziendali.
Nei contesti di risposta agli incidenti, è utile verificare anche la presenza di infrastruttura separata su più provider, perché la distribuzione tra account Cloudflare e hosting diversi suggerisce un’architettura pensata per la resilienza operativa. In scenari simili, la rimozione manuale delle estensioni deve essere accompagnata dal controllo di eventuali residui di configurazione, dalla verifica del motore di ricerca e da un audit dei profili browser sincronizzati, perché la persistenza può riapparire tramite sincronizzazione o reinstallazione automatica.
Fonte: https://gbhackers.com/152-chrome-extensions-spoofing-google-search/
