Edge e Chrome sotto attacco, estensioni malevole per rubare i dati degli utenti

In Sintesi

• Un gruppo di hacker, noto come ShadyPanda, ha condotto una campagna pluriennale infiltrandosi nei marketplace di Google Chrome e Microsoft Edge e distribuendo estensioni malevole.
• Per eludere i controlli le estensioni erano innocue al momento della pubblicazione iniziale e solo con gli aggiornamenti successivi sono state trasformate in sofisticati spyware.

Un attacco informatico su larga scala, rimasto inosservato per anni, ha compromesso milioni di utenti di Google Chrome e Microsoft Edge attraverso il download di estensioni apparentemente innocue. Secondo un’analisi condotta dalla società di sicurezza Koi, un gruppo di hacker riconducibile alla Cina, noto come ShadyPanda, avrebbe condotto un’operazione di infiltrazione lenta e metodica, progettata per massimizzare il numero di vittime nel lungo periodo.

Che sappiamo dell’attacco hacker contro Chrome e Edge

Secondo i ricercatori di sicurezza informatica la tecnica adottata dal gruppo si distingue per la sua capacità di aggirare completamente le difese standard dei marketplace di estensioni, cosa che ha consentito agli hacker di distribuire componenti aggiuntivi per la produttività arrivati a milioni di installazioni, al punto da ottenere recensioni positive e badge di affidabilità.

Il gruppo criminale mirava a creare un rapporto di fiducia con gli utenti e con le piattaforme stesse. Solo in un secondo momento, una volta consolidata la reputazione delle estensioni, sono stati introdotti aggiornamenti dannosi.

Questo è stato possibile perché i controlli più severi avvengono al momento della prima pubblicazione e raramente sugli aggiornamenti successivi; perciò le versioni compromesse sono state distribuite senza ostacoli, trasformando strumenti legittimi in sofisticati spyware.

Secondo Koi, almeno cinque estensioni risultano tuttora disponibili negli store online, con un totale di oltre quattro milioni di installazioni. Tra gli esempi più rilevanti emerge WeTab, un add-on che trasmette in tempo reale grandi quantità di dati verso server situati in Cina e verso Google Analytics, creando un canale costante di esfiltrazione di informazioni sensibili.

Altra estensione malevola è Clean Master che nell’estate del 2024 ha ricevuto un aggiornamento malevolo introdotto dal gruppo ShadyPanda che integrava una funzione di accesso remoto.

Queste e le altre componenti aggiuntive malevole consentono agli hacker di:

• caricare ed eseguire file JavaScript arbitrari
• manipolare i contenuti dei siti Web visitati
• registrare integralmente la navigazione dell’utente
• impersonare comportamenti innocui quando rileva la presenza degli strumenti per sviluppatori, così da evitare l’analisi dei ricercatori

Nonostante le rimozioni effettuate successivamente da Chrome Web Store ed Edge Store, gli analisti di Koi sottolineano che l’infrastruttura utilizzata per coordinare gli attacchi resta attiva, lasciando aperta la possibilità di ulteriori compromissioni attraverso estensioni tuttora in circolazione o nuove campagne basate sullo stesso modello.

Che problemi ci sono con i marketplace di estensioni

Gli esempi appena forniti portano alla in luce una vulnerabilità sistemica negli ecosistemi di Chrome ed Edge che, una volta approvata la prima versione di un’estensione, non continuano le operazioni di monitoraggio, consentendo a sviluppatori malevoli di attendere anni prima di inserire codice malevolo, eludendo i controlli automatizzati e sfruttando la fiducia degli utenti.

Questa dinamica rappresenta una minaccia crescente, soprattutto considerando il ruolo centrale dei browser nella vita digitale contemporanea. Con milioni di installazioni e un livello di accesso potenzialmente completo alle attività online, le estensioni compromesse potrebbero avere un impatto su scala globale ancora difficile da stimare.