Estensioni del browser dannose: 1,3 milioni di utenti colpiti nella prima metà del 2022 

Nella prima metà del 2022 più di 1,3 milioni di utenti sono stati colpiti almeno una volta da minacce nascoste nelle estensioni del browser, +70% rispetto a tutto il 2021.
È quanto hanno rilevato i ricercatori di Kaspersky analizzando i rischi che le estensioni del browser dall’aspetto ‘innocente’ comportano per gli utenti, nonché le attività dei criminali informatici che nascondono le minacce nei componenti aggiuntivi. Imitando app popolari o estensioni con funzionalità utili, come PDF Converter o Video Downloader, le minacce nelle estensioni del browser possono inserire pubblicità, raccogliere dati sulla cronologia di navigazione e persino cercare le credenziali di accesso.

Gli adware sono i più diffusi

Le minacce più diffuse sono stati gli adware, ovvero software indesiderati progettati per diffondere annunci pubblicitari che vengono visualizzati sullo schermo. Questi annunci si basano solitamente sulla cronologia di navigazione e hanno l’obiettivo di catturare l’interesse degli utenti, incorporare banner nelle pagine web o reindirizzare gli utenti a pagine affiliate da cui gli sviluppatori possono guadagnare. Nel periodo compreso tra gennaio 2020 e giugno 2022 sono stati colpiti da questa minaccia più di 4,3 milioni di utenti unici, circa il 70%. Ma i componenti aggiuntivi dannosi e indesiderati vengono distribuiti anche attraverso i marketplace ufficiali.

Nel 2020 Google ha rimosso 106 estensioni dannose dal Chrome Web Store

Nel 2020, Google ha rimosso infatti 106 estensioni del browser dannose dal Chrome Web Store usate per sottrarre dati sensibili, come cookie e password, e per fare screenshot. Complessivamente, queste estensioni dannose sono state scaricate 32 milioni di volte. Tuttavia, questo non accade spesso, infatti il sistema principale di distribuzione dei componenti aggiuntivi dannosi avviene attraverso risorse di terze parti. Una delle famiglie di minacce analizzate da Kaspersky, denominata FB Stealer, è stata diffusa esclusivamente attraverso siti non affidabili. FB Stealer è una delle famiglie di minacce più pericolose, perché oltre alla tradizionale sostituzione del motore di ricerca e al re-indirizzamento delle pagine affiliate, è in grado di sottrarre le credenziali degli utenti da Facebook.

Il pericoloso Trojan NullMixeril

Quando gli utenti hanno cercato di scaricare un programma di installazione di software craccato da risorse di terze parti, come SolarWinds Broadband Engineers Keymaker, hanno ricevuto un pericoloso Trojan NullMixeril che autoinstallava FB Stealer sul dispositivo, ingannando l’utente imitando l’estensione di Chrome ‘Google Translate’. Il Trojan NullMixer si diffonde attraverso diversi programmi di installazione violati, come ad esempio il keymaker per ingegneri broadband di SolarWinds.
Una volta lanciato FB Stealer, il Trojan NullMixer può estrarre i cookie di sessione di Facebook (informazioni segrete memorizzate nel browser che contengono i dati di identificazione e consentono agli utenti di rimanere connessi), per poi inviarli ai server degli attaccanti. Utilizzando questi cookie, i cybercriminali potevano accedere rapidamente all’account Facebook dell’utente e chiedere denaro agli amici della vittima prima che fosse in grado di recuperare il proprio account.