Un nuovo attacco informatico di ampia portata ha colpito il Chrome Web Store, compromettendo almeno 16 estensioni del browser e mettendo a rischio oltre 600.000 utenti. Gli hacker hanno sfruttato una campagna di phishing mirata contro gli sviluppatori per inserire codice dannoso in estensioni legittime, esponendo gli utenti al furto di dati e credenziali.
Come è avvenuto l’attacco?
Gli hacker hanno inviato e-mail di phishing agli sviluppatori di estensioni, simulando comunicazioni ufficiali di Google. Le e-mail, progettate per creare un senso di urgenza, avvertivano di presunte violazioni delle politiche di Google e richiedevano l’accesso tramite un’applicazione OAuth dannosa denominata “Estensione della politica sulla privacy”.
Una volta ottenute le autorizzazioni necessarie, gli aggressori hanno caricato versioni compromesse delle estensioni, che sono poi state approvate attraverso il processo di revisione del Chrome Web Store. Queste estensioni infette contenevano codice che comunicava con server di comando e controllo (C&C), permettendo agli hacker di rubare cookie, token di accesso e altri dati sensibili.
Gli obiettivi principali dell’attacco
La società di sicurezza informatica Cyberhaven è stata tra le prime vittime, con un attacco avvenuto il 24 dicembre che ha compromesso una delle sue estensioni. Il codice malevolo, progettato per esfiltrare dati, ha utilizzato un server C&C esterno. L’estensione infetta è rimasta attiva per circa 24 ore prima di essere rimossa.
Oltre a Cyberhaven, l’attacco ha coinvolto altre popolari estensioni, tra cui:
- Assistente AI – ChatGPT e Gemini per Chrome
- Estensione di chat Bard AI
- Riepilogo GPT 4 con OpenAI
- Cerca Copilot AI Assistant per Chrome
- Videoregistratore Vindoz Flex
- Modalità lettore
- Città VPN e VPN Internxt
Queste estensioni, molte delle quali rivolte a utenti interessati a intelligenza artificiale e strumenti di produttività, hanno subito iniezioni di codice malevolo per esfiltrare informazioni degli utenti.
Rischi per gli utenti
Secondo Or Eshed, CEO di LayerX Security, le estensioni del browser rappresentano una minaccia significativa per la sicurezza web. Spesso ricevono ampie autorizzazioni per accedere a informazioni sensibili come cookie, token di accesso e dati di identità. Eshed sottolinea che molte organizzazioni non sono consapevoli delle estensioni installate sui loro dispositivi, aumentando così l’esposizione al rischio.
Nonostante la rimozione delle versioni compromesse dal Chrome Web Store, il pericolo persiste: se l’estensione infetta è ancora attiva sul dispositivo dell’utente, gli hacker possono continuare a sfruttarla per rubare dati.
Indagini in corso
Jamie Blasco, CTO di Nudge Security, ha rilevato che diversi domini associati al server C&C utilizzato per l’attacco sono attivi da mesi, suggerendo che la campagna potrebbe essere iniziata già nel 2021. Gli esperti hanno identificato nuove estensioni infette, come “Reader Mode” e “Rewards Search Automator”, che continuano a esfiltrare dati degli utenti mascherandosi come strumenti di “navigazione sicura”.
Le analisi indicano che uno degli obiettivi principali degli hacker era raccogliere dati di identità e token di accesso agli account Facebook, in particolare per individuare utenti di Facebook Ads.
Proteggersi dagli attacchi alle estensioni
Gli esperti raccomandano alcune pratiche per mitigare il rischio:
- Verificare le autorizzazioni delle estensioni: limitare l’accesso ai dati sensibili.
- Monitorare le estensioni installate: rimuovere quelle non necessarie o sospette.
- Aggiornare regolarmente il browser e le estensioni: gli aggiornamenti spesso includono patch di sicurezza.
- Utilizzare soluzioni di sicurezza aziendale: strumenti come Secure Annex possono identificare estensioni potenzialmente compromesse.
Conclusioni
Questa campagna di attacchi evidenzia quanto sia cruciale prestare attenzione alla sicurezza delle estensioni del browser. Gli utenti devono essere consapevoli dei rischi associati a estensioni apparentemente innocue ma con ampie autorizzazioni. Con un’attività malevola su scala globale, proteggere i dati sensibili richiede una combinazione di consapevolezza e soluzioni tecnologiche avanzate.
Il team di Google non ha ancora rilasciato dichiarazioni ufficiali, ma si prevede un rafforzamento delle misure di sicurezza per il Chrome Web Store nel prossimo futuro.
