Di Pierguido Iezzi, Co-Founder Swascan

Google ha recentemente rimosso oltre 100 estensioni dal suo Chrome Web Store dopo che sono state scoperte a raccogliere illegalmente dati sensibili degli utenti nell’ambito di una massiccia campagna di sorveglianza globale che aveva come obiettivo i settori dell’energia, della finanza e della sanità.

La società che ha scoperto il fatto, ha detto che i componenti aggiuntivi del browser erano legati a un unico dominio, GalComm. Tuttavia, non è immediatamente chiaro chi ci sia dietro lo spyware.

Questa campagna, grazie alle estensioni di Chrome coinvolte, ha eseguito operazioni quali la cattura di screenshot del dispositivo della vittima, il caricamento di malware, la lettura degli appunti e la raccolta attiva di token e input degli utenti.

Le estensioni in questione si sono presentate come utility che offrono la possibilità di convertire i file da un formato all’altro o come strumenti per una navigazione sicura, contando su migliaia di false recensioni per ingannare gli utenti a installarle.

Inoltre, gli attori dietro l’operazione hanno sfruttato diverse tecniche di evasione per evitare che i domini utilizzati venissero segnati come dannosi dalle soluzioni anti-malware, permettendo così alla campagna spyware di passare inosservata.

In totale, le estensioni sono state scaricate quasi 33 milioni di volte nel corso di tre mesi prima che Awake Security, la società dietro la scoperta, lo segnalasse direttamente a Google nel mese di maggio.

Il gigante californiano, in risposta alle rivelazioni, ha disattivato le estensioni del browser problematiche. L’elenco completo delle estensioni illegali è consultabile qui.

I dati di analisi hanno rivelato che alcune di queste estensioni erano attive sulle reti di “servizi finanziari, petrolio e gas, media e intrattenimento, sanità e prodotti farmaceutici, vendita al dettaglio, high-tech, istruzione superiore e organizzazioni governative”, anche se non ci sono prove che siano state effettivamente utilizzate per raccogliere dati sensibili.

Galcomm, dal canto suo, ha riaffermato di non essere coinvolta e di non essere complice di alcuna attività di hacking.

Le estensioni ingannevoli sul Chrome Web Store continuano ad essere un problema, con Criminal Hacker sempre pronti a sfruttarlo per diffondere malware e altre campagne di furto di dati.

All’inizio di febbraio, Google ha rimosso 500 estensioni infettate da malware dopo queste erano state osservate distribuire adware e inviare l’attività di navigazione degli utenti ai server controllati dagli aggressori.

Poi, in aprile, l’azienda ha ritirato un’altra serie di 49 estensioni che si mascheravano da portafogli di cripto-valuta per rubare le informazioni di Keystore.

Si raccomanda agli utenti di rivedere i permessi delle estensioni visitando “chrome://extensions” sul browser Chrome, di considerare la possibilità di disinstallare quelle usate raramente o di passare ad altri software alternativi che non richiedono un accesso invasivo all’attività del browser.