Il pericolo delle estensioni di Chrome ed Edge, infettate da cellule malware dormienti
4,3 milioni di browser Chrome ed Edge in tutto il mondo sono stati contaminati a causa di una campagna di malware dormiente che ha approfittato di estensioni apparentemente innocue disponibili nel Chrome Web Store e in quello di Microsoft.
Questa scoperta è il risultato di un’analisi approfondita condotta da Koi Security, che ha recentemente confermato non solo il coinvolgimento del gruppo di cybercriminali ShadyPanda – presumibilmente legato alla Cina – ma anche il grado di sofisticazione raggiunto e le vulnerabilità sistemiche dei marketplace.
In sostanza, è stato trovato un modo per sfruttare il sistema di personalizzazione e potenziamento dei browser: come noto, sia Chrome che Edge (che condividono lo stesso motore) permettono l’integrazione di migliaia di software di terze parti.
L’operazione wallpaper
I ricercatori di Koi Security hanno identificato una prima campagna risalente al 2023. In questo frangente, ShadyPanda è riuscita a far accettare 20 estensioni nel Chrome Web Store e 125 in Microsoft Edge, tutte relative a applicazioni per la gestione di wallpaper o per la produttività.
In particolare, l’obiettivo principale era quello di ingannare i meccanismi di affiliazione, quindi ogni volta che un utente effettuava un acquisto su eBay, Amazon o Booking, le estensioni registravano una commissione.
Allo stesso tempo, attivavano anche “un tracciamento di Google Analytics per monetizzare i dati di navigazione: ogni visita, query di ricerca e clic venivano registrati e venduti” nel mercato nero.
Gli esperti sostengono che questa operazione ha permesso di acquisire esperienza sui processi di revisione di Chrome, su come si costruisce la fiducia degli utenti e quindi su come sia ideale garantire un funzionamento normale per un certo periodo. “Alcune estensioni sono rimaste attive per mesi prima di essere scoperte”, hanno evidenziato.
Il dirottamento delle ricerche online
All’inizio del 2024, grazie all’estensione Infinity V+, che migliora la personalizzazione del browser, è stato possibile reindirizzare ogni ricerca online verso il motore Trovi.com. Questo motore viene spesso installato involontariamente insieme a software gratuiti e modifica le impostazioni del browser senza un chiaro consenso dell’utente.
In questo modo, “le query di ricerca venivano registrate, monetizzate e vendute. Inoltre, i risultati delle ricerche venivano manipolati a scopo di lucro”. Inoltre, i cookie di navigazione venivano esfiltrati, attuando così un monitoraggio costante e una profilazione utente in tempo reale. L’unico aspetto positivo è che “le estensioni venivano segnalate e rimosse entro poche settimane o mesi dalla loro attivazione”.
La prima operazione dormiente
Tra il 2018 e il 2019, ShadyPanda ha caricato tre estensioni che hanno generato oltre 200mila installazioni e, in particolare, ottenuto lo stato di In evidenza e Verificato per il loro corretto funzionamento e qualità.
Tra queste spiccava Clean Master, una soluzione per ottimizzare il pc eliminando file temporanei, cache, RAM, ecc. La situazione è rimasta stabile fino a metà del 2024, quando è stata rilasciata una versione dannosa che ha attivato una backdoor. Tramite questa è iniziata una sorveglianza completa dell’attività nel browser e la possibilità di sottrarre credenziali.
“Sebbene le estensioni siano state recentemente rimosse dai marketplace, l’infrastruttura per attacchi su larga scala rimane attiva su tutti i browser infetti”, evidenzia Koi Security.
La mossa finale
ShadyPanda, apprendendo da ogni esperienza passata, nel 2023 ha lanciato 5 estensioni su Microsoft Edge che hanno superato le 4 milioni di installazioni. Fino a ieri erano ancora attive nel marketplace di Microsoft: tra queste spicca WeTab, che dovrebbe essere uno strumento di produttività, ma in realtà è uno spyware.
“Raccoglie ed esfiltra un’ampia gamma di dati degli utenti in 17 domini diversi (8 server Baidu in Cina, 7 server WeTab in Cina e Google Analytics)”, sottolineano i ricercatori.
“ShadyPanda può distribuire aggiornamenti in qualsiasi momento, armando 4 milioni di browser con lo stesso framework backdoor. L’infrastruttura è in atto. Le autorizzazioni sono concesse. Il meccanismo di aggiornamento funziona automaticamente”.
I marketplace sono davvero sicuri?
Koi Security mette in evidenza che, nonostante il livello di sofisticazione tecnica raggiunto, il vero problema è che sono state sfruttate le stesse vulnerabilità per sette anni.
“I marketplace esaminano le estensioni al momento della sottomissione. Non monitorano ciò che accade dopo l’approvazione”. In pratica, il sistema di aggiornamento automatico delle app, che dovrebbe offrire una protezione costante, rappresenta in realtà un potenziale fronte di rischio in alcuni casi.
In altre parole, la creazione di un rapporto di fiducia, senza controlli costanti, è diventata la vera vulnerabilità.
