Estensioni Infette su Chrome Store: la recente ondata di plugin infette ha messo a rischio milioni di utenti attirandoli con funzionalità apparentemente utili, ma celando malware sofisticati per il tracciamento e l’installazione di backdoor. In questo articolo parleremo delle scoperte di Koi Security e delle misure di sicurezza da adottare per proteggere la privacy, spiegando nel dettaglio come è avvenuta l’infiltrazione, quali permessi venivano sottratti e come procedere alla rimozione di queste estensioni. Estensioni Infette Chrome Store verrà analizzato in ogni sfaccettatura.
La scoperta delle estensioni infette
Nel corso di una ricerca approfondita, i ricercatori di Koi Security hanno identificato 10 estensioni sul Chrome Web Store che, pur avendo il badge blu di verificata autenticità, celavano codice maligno. Il trucco utilizzato è lo stesso sfruttato dai malware Android: prima una versione pulita, poi un aggiornamento silente con funzionalità di spionaggio e ransomware. I plugin nascondevano un meccanismo di persistenza tramite una vera e propria backdoor, permettendo agli aggressori un controllo continuo del browser e dei dati degli utenti.
Il funzionamento della campagna RedDirection
La campagna, denominata “RedDirection”, sfruttava un exploit nei sistemi di revisione Google per bypassare i controlli. Le estensioni infette, una volta installate, inviavano all’insaputa degli utenti le loro abitudini di navigazione a server remoti, eseguivano redirection verso siti fasulli e intercettavano sessioni di autenticazione. Grazie ai permessi richiesti (“tabs”, “webRequest”, “cookies”), gli aggressori potevano manipolare richieste HTTP, iniettare script di phishing e rubare credenziali.
Elenco delle estensioni infette su Chrome Web Store
Ecco la tabella completa delle 10 estensioni infette, con dettagli su installazioni, valutazioni e stato di rimozione:
| Nome estensione | Installazioni totali | Badge blu | Valutazione media | Stato |
|---|---|---|---|---|
| Color Picker, Eyedropper — Geco colorpick | 450.000 | Sì | 4,5/5 | Rimosse |
| Emoji keyboard online — copy&paste your emoji | 230.000 | Sì | 4,6/5 | Rimosse |
| Free Weather Forecast | 180.000 | Sì | 4,4/5 | Rimosse |
| Video Speed Controller — Video manager | 200.000 | Sì | 4,7/5 | Rimosse |
| Unlock Discord — VPN Proxy to Unblock Discord Anywhere | 120.000 | Sì | 4,3/5 | Rimosse |
| Dark Theme — Dark Reader for Chrome | 300.000 | Sì | 4,8/5 | Rimosse |
| Volume Max — Ultimate Sound Booster | 100.000 | Sì | 4,2/5 | Rimosse |
| Unblock TikTok — Seamless Access with One-Click Proxy | 90.000 | Sì | 4,1/5 | Rimosse |
| Unlock YouTube VPN | 70.000 | Sì | 4,0/5 | Rimosse |
| Weather | 60.000 | Sì | 4,5/5 | Rimosse |
Le estensioni, nonostante le recensioni positive, eseguivano operazioni di spyware, interagendo con le API del browser per esfiltrare dati sensibili.
Rischi e vulnerabilità sfruttate
Gli aggressori hanno fatto leva su vulnerabilità note del motore di aggiornamento automatico di Chrome: la versione iniziale risultava pulita, mentre il payload malevolo veniva distribuito sotto forma di aggiornamento. Questa tecnica garantiva la compromissione silenziosa della macchina vittima, aumentando il livello di infiltrazione nella rete locale.
Le estensioni infette sul Microsoft Store
Oltre al Chrome Web Store, Koi Security ha individuato altre 8 estensioni infette sul Microsoft Store, con oltre 600.000 download complessivi. Anche qui, permessi e proxy venivano sfruttati per dirottare la navigazione:
| Nome estensione | Download totali | Categoria | Stato |
|---|---|---|---|
| Unlock TikTok | 150.000 | VPN/Proxy | Rimosse |
| Volume Booster — Increase your sound | 100.000 | Audio | Rimosse |
| Web Sound Equalizer | 80.000 | Audio | Rimosse |
| Header Value | 70.000 | Sviluppo web | Rimosse |
| Flash Player — games emulator | 60.000 | Intrattenimento | Rimosse |
| Youtube Unblocked | 50.000 | VPN/Proxy | Rimosse |
| SearchGPT — ChatGPT for Search Engine | 55.000 | Produttività | Rimosse |
| Unlock Discord | 35.000 | VPN/Proxy | Rimosse |
Come difendersi: rimozione e pulizia
Se avete installato una di queste estensioni vulnerabile, rimuovetela immediatamente. È fondamentale cancellare la cache, eliminare tutti i cookie, resettare le preferenze del browser e controllare le attività suspect dell’account. Infine, eseguite una scansione completa del sistema con un antivirus aggiornato.
![procedura passo-passo per rimuovere estensioni infette e pulire il browser – prompt IA]
Best practice per installare estensioni in sicurezza
- Verificate sempre la provenienza e la verificata identità dello sviluppatore.
- Leggete con attenzione i permessi richiesti.
- Controllate le recensioni e le discussioni su forum specializzati.
- Mantenete il browser e le estensioni aggiornate.
- Usate soluzioni di sicurezza che monitorino in real-time il traffico web.
L’importanza del monitoraggio continuo
Le piattaforme come Google e Microsoft migliorano continuamente i controlli, ma gli aggressori evolvono i loro exploit. Un monitoraggio proattivo e l’uso di strumenti di analisi del traffico aiutano a individuare anomalie e minimizzare il rischio di infiltrazione.
Conclusioni: non abbassare la guardia
Le estensioni del browser, sebbene piccole e apparentemente innocue, possono rappresentare una porta d’ingresso per malware, spyware e furto di dati. Estensioni Infette Chrome Store ha dimostrato come badge e recensioni non siano garanzia di sicurezza. È essenziale adottare un approccio critico e consapevole: controllare sempre fonti, permessi e aggiornamenti, e avere un piano di risposta in caso di compromesso.
In qualità di affiliati Amazon, riceviamo un guadagno dagli acquisti idonei effettuati tramite i link presenti sul nostro sito.
Sull'autore
