Decine di estensioni di Chrome hackerate, oltre 2,6 milioni di utenti esposti al furto di dati

In una grave violazione della sicurezza informatica, almeno 35 popolari estensioni del browser Chrome sono state compromesse, esponendo oltre 2,6 milioni di utenti a potenziali furti di dati e raccolta di credenziali. L'attacco ha preso di mira gli sviluppatori di estensioni con una campagna di phishing, consentendo agli hacker di iniettare codice dannoso in estensioni legittime, trasformando strumenti affidabili in minacce di furto di dati.

Come è avvenuto l'attacco

La violazione è iniziata con un'e-mail di phishing che impersonava il Google Chrome Web Store Developer Support. L'e-mail affermava falsamente che le estensioni prese di mira erano a rischio di rimozione per violazione delle policy e sollecitava gli sviluppatori a seguire un link per "risolvere il problema". Questo link concedeva autorizzazioni a un'app OAuth dannosa chiamata "Privacy Policy Extension", consentendo agli aggressori di accedere agli account degli sviluppatori.

Una volta ottenuto l'accesso, il codice dannoso è stato caricato nelle estensioni interessate. Questo codice:

• Rubati cookie e token di accesso utente .
• Comunicato con i server di comando e controllo (C&C) per scaricare istruzioni aggiuntive.
• Dati utente esfiltrati per un ulteriore sfruttamento.

L'attacco è venuto alla luce quando l'azienda di sicurezza informatica Cyberhaven ha rivelato che uno dei suoi dipendenti era stato preso di mira il 24 dicembre. L'estensione del browser dell'azienda è stata rapidamente sfruttata, ma questo incidente è stato solo la punta dell'iceberg.

Elenco completo delle estensioni compromesse

Approfondendo la questione, gli investigatori hanno identificato le seguenti estensioni di Chrome compromesse:

1. Assistente AI - ChatGPT e Gemini per Chrome
2. Estensione di chat Bard AI
3. Riepilogo GPT 4 con OpenAI
4. Cerca Copilot AI Assistant per Chrome
5. Assistente AI TinaMind
6. AI di Wayin
7. Città VPN
8. VPN Internxt
9. Videoregistratore Vidnoz Flex
10. Scaricatore video VidHelper
11. Segnalibro Favicon Changer
12. Castoro
13. Uvoce
14. Modalità lettore
15. Parla il pappagallo
16. Primo piano
17. Tackker - Strumento di keylogger online
18. Compagno di negozio AI
19. Ordina per più vecchio
20. Automatizzatore di ricerca premi
21. Assistente ChatGPT - Ricerca intelligente
22. Registratore di cronologia della tastiera
23. Cacciatore di e-mail
24. Effetti visivi per Google Meet
25. Guadagna - Fino al 20% di rimborso in contanti
26. Dov'è Cookie?
27. Specchio Web
28. Applicazione ChatGPT
29. Ciao AI
30. Gestore Web3Password
31. SìAssistente Captcha
32. Proxy SwitchyOmega (V3)
33. Ispettore di rete GraphQL
34. ChatGPT per Google Meet
35. Riepilogo GPT 4 con OpenAI

Questo elenco completo evidenzia l'entità della violazione, che ha interessato le estensioni utilizzate per l'assistenza AI, i servizi VPN, la produttività e altro ancora.

Attività dannose scoperte

Gli aggressori hanno fatto più che rubare dati. L'analisi delle estensioni compromesse ha rivelato:

• Targeting di identità e credenziali : codice dannoso ricercava token di accesso e informazioni sull'identità, in particolare account di Facebook Ads.
• Monitoraggio dei clic del mouse : il codice registra i clic dell'utente sulle pagine Facebook per acquisire codici QR, aggirando potenzialmente l'autenticazione a due fattori (2FA) .
• Schemi di monetizzazione : in alcuni casi, gli sviluppatori avevano già incluso SDK di raccolta dati per la monetizzazione prima della violazione.

Estensioni come Visual Effects per Google Meet utilizzavano una libreria di blocco degli annunci collegata a Urban VPN che raccoglieva furtivamente i dati degli utenti.

Da quanto tempo accade questo?

Le prove suggeriscono che questa campagna potrebbe essere attiva dal 2022 o prima. Gli investigatori hanno rintracciato le registrazioni di dominio collegate all'attività dannosa fin dal 2021. Ad esempio:

• Il dominio nagofsg[.]com è stato registrato nell'agosto 2022.
• Il dominio sclpfybn[.]com è stato registrato a luglio 2021.

Rischi in corso

Sebbene molte estensioni compromesse siano state rimosse o aggiornate sul Chrome Web Store, il rischio non è completamente mitigato. Se la versione dannosa di un'estensione è ancora attiva sul dispositivo di un utente, può continuare a rubare dati.

"La rimozione di un'estensione dal Chrome Web Store non la rimuove automaticamente dagli endpoint degli utenti", avverte Or Eshed, CEO di LayerX Security.

Cosa puoi fare

Ecco i passaggi che puoi seguire per proteggere i tuoi dati:

1. Disinstalla le estensioni interessate : esamina l'elenco delle estensioni compromesse e rimuovi quelle installate.
2. Revoca autorizzazioni : se hai concesso autorizzazioni a estensioni o app sospette, revocale immediatamente nelle impostazioni del tuo account Google.
3. Abilita l'autenticazione a due fattori : rafforza i tuoi account con l'autenticazione a due fattori ove possibile.
4. Aggiorna password : modifica le password degli account che potrebbero essere stati esposti.
5. Monitora le attività insolite : controlla eventuali accessi o attività non autorizzati sui tuoi account.

Considerazioni finali

Questo incidente sottolinea la necessità critica di vigilanza quando si utilizzano estensioni del browser. Sebbene le estensioni siano strumenti potenti, rappresentano anche rischi significativi per la sicurezza se compromesse. Sviluppatori e utenti devono rimanere attenti alle campagne di phishing e controllare attentamente autorizzazioni e aggiornamenti.

Anche il processo di revisione del Chrome Web Store di Google dovrà essere adattato per rilevare meglio le attività dannose e proteggere gli utenti da minacce simili in futuro.

Restando informati e proattivi, gli utenti possono contribuire a ridurre al minimo i rischi posti da questo e da futuri attacchi. Non lasciare che strumenti affidabili diventino un gateway per i criminali informatici: agisci per salvaguardare i tuoi dati oggi stesso.