Estensioni Chrome e Edge: il lato oscuro delle app, minaccia invisibile con malware in agguato

Estensioni Chrome e Edge: il lato oscuro delle app, minaccia invisibile con malware in agguato

Campagne dormienti nelle estensioni dei browser

Koi Security ha ricostruito una sequenza pluriennale di campagne “a bassa visibilità” che hanno sfruttato estensioni per Chrome ed Edge come cavallo di Troia. Il gruppo ShadyPanda, ritenuto vicino alla Cina, ha puntato su un modello operativo semplice ed efficace: pubblicare add-on apparentemente innocui, mantenerli impeccabili per mesi, ottenere badge di affidabilità e, solo in seguito, distribuire aggiornamenti che attivano funzionalità malevole. Il risultato è stato l’infezione silente di milioni di browser, spesso senza che l’utente notasse anomalie nel funzionamento quotidiano.

▷ Lo sai che da oggi puoi MONETIZZARE FACILMENTE I TUOI ASSET TOKENIZZANDOLI SUBITO? Contatto per approfondire: CLICCA QUI

La prima traccia concreta emersa risale al 2018–2019, quando tre estensioni hanno totalizzato oltre 200.000 installazioni e conquistato lo stato di “in evidenza” e “verificate” grazie a performance regolari e a una reputazione costruita nel tempo. Tra queste spiccava Clean Master, promossa come utility per ottimizzare il PC tramite pulizia di cache, file temporanei e memoria. Tutto è cambiato a metà 2024: un update ha sbloccato una backdoor che ha trasformato il componente in uno strumento di sorveglianza del traffico browser, con capacità di intercettare credenziali e attività sensibili. Anche dopo la rimozione dai marketplace, i ricercatori avvertono che l’infrastruttura di comando e controllo resta pronta ad attivare attacchi su larga scala sui dispositivi già compromessi.

Nel 2023 la strategia si è allargata a una vasta rete di estensioni su Chrome Web Store e sul catalogo di Microsoft Edge, mascherate da app per wallpaper o strumenti di produttività. L’obiettivo primario era il profitto occulto: manipolazione di programmi di affiliazione con registrazione di commissioni su acquisti effettuati su piattaforme come Amazon, eBay e Booking, e contestuale monetizzazione dei dati di navigazione tramite tracking aggressivo (Google Analytics incluso) di visite, ricerche e clic, poi rivenduti sul mercato nero. Alcune di queste estensioni sono rimaste attive per mesi, segno della capacità del gruppo di eludere i controlli iniziali e di massimizzare la fiducia degli utenti prima di virare verso attività ostili.

GUADAGNA & RISPARMIA con i nostri Coupon & Referral Code: CLICCA QUI ORA!

La “mossa finale” ha preso forma sempre nel 2023 su Microsoft Edge, con cinque estensioni che hanno superato la soglia delle 4 milioni di installazioni. Il caso emblematico è WeTab, presentata come suite di produttività ma progettata per spyware: raccoglie ed esfiltra una quantità estesa di dati verso 17 domini, tra cui 8 server Baidu in Cina, 7 server WeTab in Cina e endpoint di Google Analytics. Secondo Koi Security, con le autorizzazioni già concesse e il meccanismo di aggiornamento automatico attivo, ShadyPanda può armare in qualsiasi momento i browser compromessi con lo stesso framework di backdoor, riattivando la catena d’infezione senza ulteriori interazioni dell’utente.

Dirottamento delle ricerche e tracciamento dei dati

All’inizio del 2024, l’estensione Infinity V+, presentata come strumento di personalizzazione del browser, è stata utilizzata per deviare sistematicamente le ricerche verso Trovi.com, un motore spesso installato a corredo di software gratuiti che altera le impostazioni senza consenso esplicito. Il reindirizzamento ha permesso di intercettare le query, monetizzarle e rivenderle, manipolando nel contempo i risultati a fini commerciali. In parallelo, i cookie di sessione venivano esfiltrati, abilitando un monitoraggio continuo e una profilazione in tempo reale dell’utente, inclusa la ricostruzione delle abitudini di navigazione e delle preferenze di acquisto.

SUPER SCONTI OUTLET SU AMAZON: CLICCA SUBITO QUI!

Il meccanismo osservato dai ricercatori di Koi Security segue uno schema consolidato: mantenere un comportamento legittimo fino al raggiungimento di una base utenti significativa, poi attivare componenti che modificano i motori predefiniti, iniettano parametri di affiliazione e tracciano ogni interazione. L’integrazione con servizi di analisi come Google Analytics ha amplificato la raccolta di dati, trasformando ogni visita, clic e ricerca in segnali monetizzabili sul mercato nero. La catena tecnica comprendeva la persistenza delle modifiche alle impostazioni del browser, l’aggiornamento silente dei componenti e l’invio dei dati a infrastrutture esterne distribuite.

Nonostante la rapidità con cui alcune estensioni siano state segnalate e rimosse, spesso entro poche settimane o mesi dalla distribuzione delle versioni malevole, l’impatto è stato rilevante: la manipolazione del traffico di ricerca ha generato entrate illecite, mentre l’esfiltrazione dei cookie ha aperto a rischi di furto di sessione e accesso non autorizzato ad account online. Il caso Infinity V+ evidenzia come un singolo aggiornamento possa trasformare un add-on di largo consumo in un veicolo per dirottamento, profilazione aggressiva e monetizzazione opaca dei dati dell’utente.

Debolezze dei marketplace e rischi degli aggiornamenti automatici

Koi Security evidenzia una criticità strutturale: i marketplace di Chrome Web Store e Microsoft Edge applicano controlli stringenti solo in fase di invio iniziale dell’estensione, ma non garantiscono una vigilanza continua sulle versioni successive. Il modello di fiducia, costruito su badge come “verificata” o “in evidenza”, diventa un fattore di rischio quando gli sviluppatori sfruttano la reputazione acquisita per distribuire update che introducono backdoor, tracciamenti invasivi o manipolazioni delle impostazioni del browser.

Il meccanismo di aggiornamento automatico, concepito per offrire correzioni rapide e miglioramenti di sicurezza, si trasforma in un canale di distribuzione per code malevole quando l’autore dell’estensione modifica il comportamento del prodotto dopo l’approvazione. In assenza di controlli post-pubblicazione e di una telemetria comportamentale robusta lato store, ogni nuova versione può ampliare le autorizzazioni, attivare moduli dormienti o instaurare persistenza senza intervento dell’utente. È lo schema che ha permesso a ShadyPanda di capitalizzare anni di osservazione dei processi di revisione, mantenendo operatività legittima per lunghi periodi prima di avviare funzioni ostili.

La ripetizione degli stessi vettori per oltre sette anni indica che le difese dei marketplace non hanno evoluto in modo adeguato i controlli differenziali sugli update: assenza di sandbox comportamentali dedicate agli aggiornamenti, verifiche limitate sulle catene di analytics e di affiliazione, valutazioni poco stringenti su reindirizzamenti, modifiche ai motori di ricerca e all’iniezione di parametri nei link commerciali. Il risultato è un ecosistema in cui l’affidabilità iniziale di un’estensione diventa una copertura efficace per campagne di monetizzazione occulta e sorveglianza estesa.

Il caso WeTab e gli episodi legati a Clean Master e Infinity V+ mostrano come permessi già concessi, endpoint esterni multipli e infrastrutture pronte all’uso consentano di “armare” milioni di browser con un semplice update. Senza un monitoraggio continuo delle attività post-approvazione e senza limiti granulari ai permessi dinamici, i marketplace restano esposti a dirottamenti delle ricerche, esfiltrazione di cookie e ampliamento invisibile delle superfici di attacco. La catena del rischio è alimentata dalla combinazione di fiducia implicita, aggiornamenti silenti e scarsa trasparenza sulle modifiche introdotte versione dopo versione.

FAQ

  • Qual è la tecnica principale usata per compromettere le estensioni?

    Pubblicare add-on legittimi, costruire reputazione e, dopo mesi, distribuire aggiornamenti che attivano moduli malevoli come backdoor, tracciamento e reindirizzamenti.

  • Perché gli aggiornamenti automatici rappresentano un rischio?

    Consentono di introdurre cambiamenti critici senza intervento dell’utente né controlli post-approvazione, trasformando un’estensione affidabile in un vettore d’attacco.

  • Quali dati vengono tipicamente raccolti ed esfiltrati?

    Query di ricerca, cronologia di navigazione, clic, cookie di sessione e informazioni utili a profilazione e frodi di affiliazione.

  • Come avviene il dirottamento delle ricerche?

    Tramite modifiche alle impostazioni del browser e reindirizzamenti verso motori come Trovi.com, con manipolazione dei risultati e inserimento di parametri di affiliazione.

  • Qual è il ruolo della reputazione nei marketplace?

    Badge come “verificata” e “in evidenza” favoriscono la fiducia degli utenti, ma possono essere sfruttati per introdurre in seguito comportamenti ostili tramite update.

  • Perché il problema persiste da anni?

    Per la mancanza di controlli continui sugli aggiornamenti, di sandbox comportamentali e di verifiche approfondite su permessi, analytics e reindirizzamenti dopo l’approvazione iniziale.

Articolo editoriale realizzato dalla Redazione di Assodigitale. Per tutte le vostre esigenze editoriali e per proporci progetti speciali di Branded Content oppure per inviare alla redazione prodotti per recensioni e prove tecniche potete contattarci direttamente scrivendo alla redazione : CLICCA QUI

DIRETTORE EDITORIALE

PUBBLICITA’ – COMUNICATI STAMPA – PROVE PRODOTTI

Per acquistare pubblicità CLICCA QUI

Per inviarci comunicati stampa e per proporci prodotti da testare prodotti CLICCA QUI

#ASSODIGITALE.

PUBBLICITA’ COMUNICATI STAMPA

Per acquistare pubblicità potete richiedere una offerta personalizzata scrivendo al reparto pubblicitario.

Per pubblicare un comunicato stampa potete richiedere una offerta commerciale scrivendo alla redazione.

Per inviarci prodotti per una recensione giornalistica potete scrivere QUI

Per informazioni & contatti generali potete scrivere alla segreteria.

Tutti i contenuti pubblicati all’interno del sito #ASSODIGITALE. “Copyright 2024” non sono duplicabili e/o riproducibili in nessuna forma, ma possono essere citati inserendo un link diretto e previa comunicazione via mail.

AFFILIATION + AI IMAGE & TEXT

I contenuti pubblicati su Assodigitale.it possono contenere link di affiliazione al Programma Amazon EU.
In qualità di affiliato Amazon, il sito percepisce una commissione sugli acquisti idonei effettuati tramite i link presenti nelle pagine, senza alcun costo aggiuntivo per l’utente.
Alcune immagini e testi presenti su questo sito web sono generate tramite sistemi di intelligenza artificiale (IA) e hanno finalità esclusivamente illustrative.
Tali immagini non rappresentano persone reali, né vanno intese come fotografie autentiche dei soggetti.
Per chiarimenti, segnalazioni o istanze formali è possibile contattare la redazione.

FONTE UFFICIALE GOOGLE NEWS

#ASSODIGITALE. da oltre 20 anni rappresenta una affidabile fonte giornalistica accreditata e certificata da Google News per la qualità dei suoi contenuti.

#ASSODIGITALE. è una testata editoriale storica che dal 2004 ha la missione di raccontare come la tecnologia può essere utile per migliorare la vita quotidiana approfondendo le tematiche relative a: TECH & FINTECH + AI + CRYPTO + BLOCKCHAIN + METAVERSE & LIFESTYLE + IOT + AUTOMOTIVE + EV + SMART CITIES + GAMING + STARTUP.

 

Powered by atecplugins.com