Un'operazione di hijacking su larga scala ha colpito oltre 2,3 milioni di utenti attraverso estensioni apparentemente innocue distribuite tramite i Chrome Web Store di Google e Microsoft Edge. La scoperta, che ha portato alla luce una delle più vaste campagne di dirottamento browser mai documentate, rivela come i cybercriminali abbiano sfruttato strumenti quotidiani come selettori di colori, tastiere emoji e amplificatori di volume per spiare l'attività degli utenti e potenzialmente reindirizzarli verso siti pericolosi. La sofisticazione dell'attacco risiede nella sua capacità di mimetizzarsi perfettamente tra software legittimo, ingannando anche i sistemi di verifica delle piattaforme ufficiali.
I ricercatori di Koi Security hanno identificato quasi una dozzina di estensioni malevole nel Chrome Web Store, alcune delle quali verificate e con centinaia di recensioni positive. Queste applicazioni, che totalizzano 1,7 milioni di download solo su Chrome, si presentano come strumenti utili: color picker, VPN, potenziatori audio e tastiere emoji. Tuttavia, dietro la facciata di funzionalità legittime si nasconde un sofisticato sistema di tracciamento che monitora ogni spostamento degli utenti nel web.
L'elemento più preoccupante emerso dall'analisi è che il codice malevolo non era presente nelle versioni iniziali delle estensioni, ma è stato introdotto successivamente tramite aggiornamenti. Questo suggerisce che gli sviluppatori originali potrebbero essere stati compromessi da attori esterni, oppure che le estensioni siano state deliberatamente progettate per diventare malevole dopo aver raggiunto un numero significativo di installazioni. Il sistema di aggiornamento automatico di Google ha distribuito silenziosamente le versioni compromesse senza richiedere alcuna approvazione da parte degli utenti.
La funzionalità malevola opera attraverso il background service worker di ciascuna estensione, utilizzando le API di Chrome Extensions per registrare un listener che si attiva ogni volta che l'utente naviga verso una nuova pagina web. Questo meccanismo cattura l'URL della pagina visitata e trasmette l'informazione a un server remoto insieme a un ID di tracciamento univoco per ogni utente. Il server può rispondere con URL di reindirizzamento, dirottando l'attività di navigazione dell'utente verso destinazioni potenzialmente pericolose.
Sebbene i ricercatori non abbiano osservato reindirizzamenti malevoli durante i loro test, la possibilità rimane concreta. Una delle estensioni identificate, "Volume Max — Ultimate Sound Booster", era già stata segnalata il mese scorso dai ricercatori di LayerX per le sue potenziali capacità di spionaggio, anche se all'epoca non era stata confermata alcuna attività malevola. Questo dimostra come alcune di queste estensioni fossero già nel mirino degli esperti di sicurezza.
L'elenco delle estensioni compromesse include strumenti apparentemente innocui come Color Picker, Eyedropper — Geco colorpick, Emoji keyboard online — copy&paste your emoji, Free Weather Forecast, Video Speed Controller — Video manager, e diverse VPN progettate per sbloccare servizi come Discord, YouTube e TikTok. Queste applicazioni sfruttano la fiducia degli utenti verso funzionalità quotidiane per nascondere le loro vere intenzioni.
La situazione si è rivelata ancora più grave quando i ricercatori di Koi Security hanno scoperto che i cybercriminali avevano pianificato estensioni malevole anche nello store ufficiale di Microsoft Edge, con un totale di 600.000 download. Questo dimostra come l'operazione non si sia limitata a un singolo browser, ma abbia preso di mira l'intero ecosistema delle estensioni web attraverso multiple piattaforme.
Gli esperti raccomandano agli utenti di rimuovere immediatamente tutte le estensioni elencate, cancellare i dati di navigazione per eliminare eventuali identificatori di tracciamento, controllare il sistema per la presenza di malware e monitorare gli account per attività sospette. La risposta dei publisher delle estensioni alle richieste di chiarimento è stata finora assente, lasciando aperti interrogativi sulla natura dell'attacco e sulla possibile compromissione degli sviluppatori originali.
Questa scoperta evidenzia le vulnerabilità intrinseche nel sistema di distribuzione delle estensioni browser, dove anche strumenti apparentemente innocui possono trasformarsi in vettori di attacco. La capacità dei cybercriminali di mantenere le estensioni funzionanti mentre introducono codice malevolo sottolinea l'importanza di un monitoraggio continuo e di sistemi di verifica più rigorosi da parte delle piattaforme di distribuzione.
Il caso dimostra come la fiducia riposta nei marketplace ufficiali possa essere sfruttata da attori malevoli, che utilizzano recensioni positive e badge di verifica per ingannare gli utenti. La lunga permanenza di alcune di queste estensioni negli store ufficiali, alcune delle quali erano sicure per anni prima di diventare malevole, rappresenta una sfida significativa per la sicurezza informatica e richiede un ripensamento delle strategie di protezione degli utenti.