Ventotto estensioni popolari per i browser Google Chrome e Microsoft Edge potrebbero contenere malware e probabilmente dovrebbero essere disinstallate dagli oltre 3 milioni di persone che le hanno già scaricate, hanno detto giovedì i ricercatori di sicurezza.
Le estensioni per i browser che potenzialmente potrebbero rappresentare una minaccia alla sicurezza includono Video Downloader per Facebook, Vimeo Video Downloader, Instagram Story Downloader, VK Unblock, così come altri in uso per i due browser popolari, secondo una ricerca di Avast Threat Intelligence.
I numeri di download dallo store del browser mostrano che diversi milioni di persone in tutto il mondo attualmente potrebbero utilizzare le estensioni, hanno detto i ricercatori. Inoltre, mentre Avast Threat Intelligence ha iniziato a indagare sulla minaccia a novembre, potrebbe essere passata inosservata per anni. Le recensioni sul Chrome Web Store ne mostrano la prova, poiché menzionano il dirottamento dei collegamenti sin dal dicembre 2018, hanno osservato i ricercatori.
Avast Threat Intelligence ha scoperto il malware dopo aver seguito la ricerca del ricercatore ceco Edvard Rejthar presso CZ.NIC, che per primo ha identificato la minaccia originata dalle estensioni del browser sul suo sistema, ha scritto in un post sul blog Emma McGowan, senior writer di Avast.
Notando alcuni comportamenti “non standard” provenienti dal suo computer, Rejthar è andato a cercare la fonte nei componenti aggiuntivi del browser, che tendono a essere “la vulnerabilità più comune del computer di un utente oltre al phishing“, ha scritto.
Rejthar ha impostato una trappola per catturare il colpevole in azione e ha trovato script dannosi provenienti da determinate estensioni del browser. Il malware è entrato nel sistema tramite localStorage, il repository di dati generali che i browser mettono a disposizione di siti e componenti aggiuntivi, ha riferito.
I ricercatori di Avast hanno indagato ulteriormente e hanno scoperto che le estensioni infette basate su JavaScript contengono codice dannoso che apre la porta al download di ancora più malware sul computer di una persona, secondo il post di McGowan. Inoltre manipolano tutti i link su cui le vittime fanno clic dopo aver scaricato le estensioni, ha scritto.
“Ad esempio, i link nella Ricerca Google portano gli utenti ad altri siti apparentemente casuali“, secondo il post. “Questo include siti e annunci di phishing.”
Facendo clic sui collegamenti, le estensioni inviano anche informazioni al server di controllo dell’attaccante, creando apparentemente un registro di tutti i clic di qualcuno. Tale registro viene quindi inviato a siti Web di terze parti e può essere utilizzato per raccogliere informazioni personali di un utente, tra cui data di nascita, indirizzi e-mail, informazioni sul dispositivo, ora del primo accesso, ora dell’ultimo accesso, nome del suo dispositivo, sistema operativo, browser utilizzato e versione e indirizzo IP, secondo Avast.
I ricercatori hanno ipotizzato che le estensioni siano state create deliberatamente con malware integrato o che l’attore della minaccia abbia aspettato che le estensioni diventassero popolari e quindi ha rilasciato un aggiornamento dannoso, ha affermato il ricercatore di Avast Jan Rubin.
“Potrebbe anche essere che l’autore abbia venduto le estensioni originali a qualcun altro dopo averle create e poi il suo cliente ha introdotto il malware in seguito“, ha detto nel post.
Inoltre, i domini utilizzati nella campagna probabilmente non sono di proprietà dei cybercriminali; piuttosto, i proprietari del dominio probabilmente pagheranno i cybercriminali per ogni reindirizzamento, ha aggiunto Rubin.
Al momento della stesura di questo articolo, le estensioni infette sono ancora disponibili per il download, secondo Avast, che consiglia agli utenti di disabilitarle e disinstallarle e di eseguire la scansione alla ricerca di malware prima di continuare a utilizzarle.
Avast ha detto che i ricercatori hanno segnalato il problema sia a Google che a Microsoft. Nessuna delle due società ha risposto immediatamente alla richiesta di commento sul fatto di essere a conoscenza delle estensioni e intendeva indagarle e / o rimuoverle.
Si indaga tramite Avast per ottenere un elenco completo delle estensioni identificate e aggiorneremo questo post di conseguenza.
Delle due società, almeno Google non è estranea a rispondere alle notizie di estensioni del browser dannose. A giugno, la società ha rimosso 106 estensioni del browser Chrome dal suo Chrome Web Store in risposta a un rapporto secondo cui venivano utilizzate per sottrarre dati sensibili degli utenti.