I ricercatori di Kaspersky hanno analizzato i rischi che le estensioni del browser dall’aspetto innocente comportano per gli utenti e le attività dei criminali informatici che nascondono le minacce nei componenti aggiuntivi. Nella prima metà del 2022, più di 1,3 milioni di utenti sono stati colpiti almeno una volta da minacce nascoste nelle estensioni del browser: più del 70% del numero di utenti colpiti dalla stessa minaccia in tutto il 2021. Imitando app popolari, come Google Translator o estensioni con funzionalità utili come PDF Converter o Video Downloader, le minacce nelle estensioni del browser possono inserire pubblicità, raccogliere dati sulla cronologia di navigazione degli utenti e persino cercare le credenziali di accesso, rendendole uno degli strumenti più desiderati dai criminali informatici.
Dall’inizio del 2020, i prodotti Kaspersky hanno impedito a circa 6 milioni di utenti di scaricare minacce camuffate da estensioni del browser. Nella prima metà del 2022, i ricercatori di Kaspersky hanno rilevato un aumento del numero di utenti colpiti, pari a 1,3 milioni, da minacce nei componenti aggiuntivi, registrando un aumento del 70% rispetto all’intero anno precedente.
I più diffusi sono stati gli adware, ovvero software indesiderati progettati per diffondere annunci pubblicitari che vengono visualizzati sullo schermo. Questi annunci si basano solitamente sulla cronologia di navigazione e hanno l’obiettivo di catturare l’interesse degli utenti, incorporare banner nelle pagine web o reindirizzare gli utenti a pagine affiliate da cui gli sviluppatori possono guadagnare. Nel periodo compreso tra gennaio 2020 e giugno 2022, secondo gli esperti di Kaspersky, sono stati colpiti da questa minaccia più di 4,3 milioni di utenti unici (circa il 70%).
È stato riscontrato che i componenti aggiuntivi dannosi e indesiderati vengono distribuiti anche attraverso i marketplace ufficiali. Nel 2020, Google ha rimosso 106 estensioni del browser dannose dal Chrome Web Store, che venivano usate per sottrarre dati sensibili, come cookie e password, e persino per fare screenshot. Complessivamente, queste estensioni dannose sono state scaricate 32 milioni di volte, mettendo a rischio i dati di milioni di utenti.
Tuttavia, questo non accade spesso, infatti il sistema principale di distribuzione dei componenti aggiuntivi dannosi avviene attraverso risorse di terze parti. Una delle famiglie di minacce analizzate dai ricercatori di Kaspersky nel report, denominata FB Stealer, è stata diffusa esclusivamente attraverso siti non affidabili. FB Stealer è una delle famiglie di minacce più pericolose perché, oltre alla tradizionale sostituzione del motore di ricerca e al re-indirizzamento delle pagine affiliate, è in grado di sottrarre le credenziali degli utenti da Facebook. Quando gli utenti hanno cercato di scaricare un programma di installazione di software craccato da risorse di terze parti, come SolarWinds Broadband Engineers Keymaker, hanno ricevuto un pericoloso Trojan NullMixer il quale auto installava FB Stealer sul dispositivo, e ingannava l’utente imitando l’estensione di Chrome “Google Translate”, che appariva innocua e dall’aspetto standard.
Una volta lanciato FB Stealer, il Trojan NullMixer può estrarre i cookie di sessione di Facebook, ovvero informazioni segrete memorizzate nel browser che contengono i dati di identificazione e che consentono agli utenti di rimanere connessi, per poi inviarli ai server degli attaccanti. Utilizzando questi cookie, i cybercriminali potevano accedere rapidamente all’account Facebook dell’utente e chiedere denaro agli amici della vittima prima che questa fosse in grado di recuperare il proprio account.
“Anche le estensioni del browser che non portano un payload dannoso possono essere pericolose. Ad esempio, quando gli sviluppatori di componenti aggiuntivi vendono i dati raccolti dagli utenti ad altre aziende li rendono potenzialmente visibili anche a chi non dovrebbe vederli. In questo caso, gli utenti potrebbero chiedersi se sia opportuno scaricare le estensioni del browser tenuto conto che comportano così tante minacce. Io stesso sono un utente attivo delle estensioni del browser e credo che i componenti aggiuntivi migliorino l’esperienza online. Alcune estensioni possono addirittura rendere i dispositivi molto più sicuri, ad esempio i gestori di password. Tuttavia, è molto più importante tenere d’occhio la reputazione e l’affidabilità dello sviluppatore e le autorizzazioni richieste dall’estensione. Se si seguono le raccomandazioni per farne un uso sicuro, il rischio di incorrere in qualche minaccia sarà minimo”, ha commentato Anton Ivanov, Senior Security Researcher di Kaspersky.
Per proteggersi da queste minacce Kaspersky consiglia di:
- Usare solo fonti affidabili per scaricare software. Il malware e le applicazioni indesiderate sono spesso distribuiti attraverso risorse di terze parti, la cui sicurezza non è controllata come quella dei siti web ufficiali. Queste applicazioni possono installare estensioni del browser dannose o indesiderate senza che l’utente ne sia a conoscenza e possono eseguire altre attività dannose.
- Le estensioni aggiungono funzionalità extra ai browser e richiedono l’accesso a varie risorse e autorizzazioni – è importante esaminare attentamente le richieste dei componenti aggiuntivi prima di accettarle.
- Limitare il numero di estensioni usate contemporaneamente e rivedere periodicamente le estensioni installate. Disinstallare le estensioni inutilizzate o non riconosciute.
- Usare una soluzione di sicurezza affidabile. La navigazione privata può aiutare a evitare il tracciamento di Internet e a proteggere dalle minacce.