Come riconoscere ed eliminare le estensioni malevole di Chrome e Edge

In Sintesi

• Una campagna, denominata ShadyPanda, ha interessato 145 estensioni per Chrome e Edge installate come legittime e aggiornate dagli hacker per trasformarle in strumenti di sorveglianza e furto dati.
• Per proteggersi, gli utenti devono controllare e rimuovere manualmente le estensioni sospette, controllando nome dello sviluppatore, recensioni e fonti esterne prima di installare nuove estensioni.

La sicurezza delle estensioni per browser torna al centro del dibattito dopo la scoperta di una campagna su larga scala che ha colpito Google Chrome e Microsoft Edge. Secondo i ricercatori di Koi Security, diversi componenti aggiuntivi apparentemente legittimi hanno operato per anni senza destare sospetti, per poi trasformarsi improvvisamente in strumenti di sorveglianza e furto dati.

La campagna, ribattezzata ShadyPanda, ha raggiunto complessivamente quattro milioni di download ed è ancora attiva su Edge. Per questo è sempre consigliabile sapere quali estensioni sono installate sul proprio browser.

Perché le estensioni del browser sono pericolose?

Il caso di ShadyPanda è balzato alla cronaca per la strategia utilizzata dagli hacker che, essenzialmente, ha previsto anni di attesa, con comportamenti legittimi, mentre l’attivazione del malware è arrivata solo successivamente dopo un aggiornamento.

A finire nel mirino degli esperti di sicurezza informatica sono state 145 estensioni per Chrome ed Edge mascherate da strumenti di produttività e sfondi per browser. Con il tempo, lo schema si è evoluto e questi strumenti sono stati aggiornati dagli hacker diventando dei veri e propri strumenti malevoli.

La particolarità di questo attacco, come già detto, è l’attesa. Gli hacker hanno condiviso estensioni regolari per ottenere punteggi alti sugli store digitali (e finire in evidenza), condividendo gli aggiornamenti malevoli solo in un secondo momento.

Google ha rimosso questi componenti aggiuntivi, ma su Microsoft Edge alcune estensioni risultano tuttora attive.

Come identificare le estensioni infette su Chrome ed Edge

Il controllo visivo, purtroppo, non basta: molte estensioni malevole imitano in modo convincente prodotti reali e affidabili. Per verificare la presenza di estensioni sospette su Google Chrome bisogna digitare chrome://extensions/ nella barra degli indirizzi.

Fatto questo, bisogna attivare la Modalità sviluppatore facendo clic nel pulsante in alto a destra e usare la funzione di ricerca (Ctrl+F o Cmd+F) per controllare ogni ID dell’elenco. Se un’estensione risulta infetta, bisogna selezionare Rimuovi.

Su Microsoft Edge la procedura è identica e per prima cosa bisogna digitare edge://extensions/ nella barra degli indirizzi, attivare nuovamente la Modalità sviluppatore e cercare tra i vari ID nell’elenco quelli che risultano compromessi, rimuovendoli quanto prima. Chiaramente, se nessun ID corrisponde a queli malevoli il browser è al sicuro.

Come installare estensioni in sicurezza

La vicenda ShadyPanda dimostra quanto sia fragile l’ecosistema delle estensioni: anche strumenti “verificati” e con ottime recensioni possono, infatti, trasformarsi in minacce. Per ridurre il rischio, è fondamentale adottare alcune buone pratiche:

• controllare attentamente il nome dell’estensione, evitando quelle che imitano prodotti noti con variazioni minime
• verificare la descrizione, segnalando anomalie come errori grammaticali, immagini di bassa qualità o informazioni vaghe
• analizzare le recensioni, ricordandosi che un numero elevato di commenti positivi comparsi in poco tempo può indicare attività sospetta
• effettuare ricerche esterne, consultando forum e community come Reddit per confermare la legittimità dell’estensione