Il pericolo delle estensioni di Chrome ed Edge, infettate da cellule malware dormienti
4,3 milioni di browser Chrome ed Edge a livello globale sono stati compromessi a causa di una campagna di malware dormiente che ha sfruttato estensioni apparentemente innocue disponibili sul Chrome Web Store e sul Microsoft Store.
Questa scoperta è il risultato di un’accurata indagine condotta da Koi Security, che ha recentemente rivelato non solo il coinvolgimento del gruppo di cybercriminali ShadyPanda, presumibilmente legato alla Cina, ma anche il grado di sofisticazione raggiunto e le vulnerabilità sistemiche dei marketplace.
In sostanza, è stato trovato un modo per sfruttare il sistema di personalizzazione e potenziamento dei browser: come noto, sia Chrome che Edge (che condividono lo stesso motore) permettono l’integrazione di migliaia di applicazioni di terze parti.
L’operazione wallpaper
I ricercatori di Koi Security hanno identificato una prima campagna risalente al 2023. In quella fase, ShadyPanda è riuscita a far accettare 20 estensioni sul Chrome Web Store e 125 su Microsoft Edge, tutte relative a applicazioni per la gestione di wallpaper o per la produttività.
In particolare, l’obiettivo principale era frodare i meccanismi di affiliazione, in modo che ogni volta che un utente effettuava acquisti su eBay, Amazon o Booking, le estensioni registravano una commissione.
Contemporaneamente, veniva attivato anche “un tracciamento di Google Analytics per monetizzare i dati di navigazione: ogni visita, ricerca e clic venivano registrati e venduti” nel mercato nero.
Gli esperti affermano che questa azione ha permesso di acquisire esperienza sui processi di revisione di Chrome, su come si costruisce la fiducia degli utenti e su come sia ideale garantire un funzionamento regolare per un certo periodo. “Alcune estensioni sono rimaste operative per mesi prima di essere scoperte”, hanno evidenziato.
Il dirottamento delle ricerche online
All’inizio del 2024, grazie all’estensione Infinity V+, che migliora la personalizzazione del browser, è stato possibile reindirizzare ogni ricerca online sul motore Trovi.com. Quest’ultimo viene spesso installato involontariamente insieme a software gratuiti e modifica le impostazioni del browser senza un chiaro consenso degli utenti.
In questo modo “le query di ricerca venivano registrate, monetizzate e vendute. Inoltre, i risultati delle ricerche venivano manipolati a scopo di lucro”. Inoltre, i cookie di navigazione venivano esfiltrati, attuando un monitoraggio costante e una profilazione utente in tempo reale. L’unico aspetto positivo è che “le estensioni venivano segnalate e rimosse entro poche settimane o mesi dalla loro attivazione”.
La prima operazione dormiente
Tra il 2018 e il 2019, ShadyPanda ha caricato tre estensioni che hanno generato oltre 200.000 installazioni e hanno ottenuto lo stato di In evidenza e Verificato per il loro corretto funzionamento e qualità.
Tra tutte spiccava Clean Master, un’applicazione per ottimizzare il PC eliminando file temporanei, cache, RAM, ecc. Tutto è andato bene fino alla metà del 2024, quando è stato rilasciato un aggiornamento dannoso che ha aperto una backdoor. Attraverso questa è iniziata una sorveglianza totale dell’attività di navigazione e la possibilità di sottrarre credenziali.
“Sebbene le estensioni siano state recentemente rimosse dai marketplace, l’infrastruttura per attacchi su vasta scala rimane attiva su tutti i browser compromessi”, evidenzia Koi Security.
La mossa finale
ShadyPanda, capitalizzando ogni esperienza passata, nel 2023 ha lanciato 5 estensioni su Microsoft Edge che hanno superato le 4 milioni di installazioni. Fino a ieri erano ancora attive sul marketplace di Microsoft: tra queste c’era WeTab, che dovrebbe essere uno strumento di produttività ma in realtà è uno spyware.
“Raccoglie ed esfiltra una vasta gamma di dati degli utenti in 17 domini diversi (8 server Baidu in Cina, 7 server WeTab in Cina e Google Analytics)”, sottolineano i ricercatori.
“ShadyPanda può distribuire aggiornamenti in qualsiasi momento, armando 4 milioni di browser con lo stesso framework backdoor. L’infrastruttura è pronta. Le autorizzazioni sono concesse. Il meccanismo di aggiornamento funziona automaticamente”.
I marketplace sono davvero sicuri?
Koi Security evidenzia che, nonostante il livello di sofisticazione tecnica raggiunto, il vero problema è che sono state sfruttate le stesse vulnerabilità per sette anni.
“I marketplace esaminano le estensioni al momento della presentazione. Non controllano cosa accade dopo l’approvazione”. In sostanza, il sistema di aggiornamento automatico delle applicazioni, che dovrebbe garantire una protezione continua, è in effetti un potenziale fronte di rischio in alcuni casi.
In altre parole, la costruzione di un rapporto di fiducia, senza verifiche costanti, è diventata la vera vulnerabilità.
