Un team di esperti ha sollevato preoccupazioni riguardo a una nuova forma di attacco informatico che coinvolge estensioni popolari di Google Chrome. Questa ricerca mette in luce una vulnerabilità nella sicurezza di strumenti comuni, come gestori di password e app per criptovalute, utilizzati da milioni di utenti. La gravità della situazione richiede una maggiore consapevolezza sulle potenziali minacce che si nascondono dietro software apparentemente innocui.
Il meccanismo dell'attacco polimorfico
Secondo i ricercatori di SquareX Labs, il ciclo di aggressione inizia con la pubblicazione di estensioni compromesse nel Chrome Web Store. Gli autori di questi attacchi progettano un'estensione, camuffata da strumento avanzato di marketing, supportato da intelligenza artificiale e caratteristiche accattivanti. La promessa di utilità spinge gli utenti a scaricala e installarla nel proprio browser, posizionandola vicino alla barra degli indirizzi per un accesso immediato.
Una volta che la vittima ha installato l'estensione malevola, si avvale dell'API chrome.management per accedere a un elenco delle estensioni già presenti nel browser. Qualora l'accesso a questa funzione venga negato, l'attaccante può adottare metodi più subdoli, come iniettare codice direttamente nelle pagine visitate dall'utente. Dopo aver acquisito una panoramica delle estensioni installate, l'attacco si focalizza su quelle che potrebbero contenere informazioni sensibili, come i gestori di password o portafogli per criptovalute. A questo punto, l'estensione compromessa cambia la propria identità per imitare l'estensione legittima e rubare credenziali e dati personali. Per esempio, potrebbe apparire come 1Password, disattivando l'app vera tramite l'API oppure nascondendo la sua interfaccia per non attirare l’attenzione.
Manipolazione delle credenziali attraverso inganni
Per massimizzare l'efficacia dell'attacco, l'estensione malevola crea inganni addizionali. Quando l'utente cerca di accedere a un sito, sarà accolto da un messaggio di "Sessione scaduta", spingendolo a ri-autenticarsi. Il falso modulo di accesso che gli viene presentato è progettato per catturare le sue credenziali. Ogni informazione inserita dall'utente viene poi invisibilmente inviata agli attaccanti, senza che il malcapitato se ne accorga.
Una volta portato a termine il furto delle informazioni, l'estensione può rapidamente tornare alla sua forma originale, ripristinando anche l'estensione autentica in modo da non sollevare sospetti. Questa astuzia consente ai truffatori di operare senza essere individuati, rendendo la minaccia ancora più insidiosa.
Raccomandazioni e misure di difesa
In risposta a questa problematica, SquareX ha esortato Google ad adottare misure concrete per difendersi da questo tipo di aggressione. Tra le soluzioni proposte, il blocco di modifiche sospette alle icone delle estensioni e la notifica immediata agli utenti quando si verificano tali cambiamenti. Al momento, però, non ci sono strategie implementate per contrastare efficacemente gli attacchi polimorfici.
In attesa di azioni concrete da parte di Google, gli utenti sono invitati a esercitare cautela. È essenziale evitare l'installazione di estensioni provenienti da fonti non verificate e prestare attenzione a qualsiasi comportamento insolito delle estensioni già attive. Comprendere e riconoscere i segnali delle possibili minacce può aiutare a proteggere le informazioni personali e mantenere sicura la propria attività online.
