ALLERTA PERICOLI INFORMATICI

Attenzione : le estensioni del browser possono essere molto pericolose

Attenzione : le estensioni del browser possono essere molto pericolose
Scritto da gestore

Tutti abbiamo probabilmente installato almeno una volta unโ€™estensione per il browser, ad esempio, un ad-blocker, un traduttore online, un correttore ortografico o altro. Tuttavia, pochi di noi si fermano a pensare: โ€œรจ sicuro?โ€. Purtroppo queste estensioni, apparentemente innocue, possono essere molto piรน pericolose di quanto non sembrino a prima vista. Oggi analizzeremo i pericoli che si celano dietro queste applicazioni e per farlo, utilizzeremo i dati contenuti nelย recente report elaborato dai nostri espertiย sulle principali estensioni dannose per il browser.

Cosa sono e cosa fanno le estensioni?

Iniziamo con la definizione di base e identifichiamo la radice del problema. Unโ€™estensione del browser รจ un plug-in che aggiunge funzionalitร  al browser. Ad esempio, possono bloccare gli annunci pubblicitari sulle pagine web, prendere appunti, controllare lโ€™ortografia e molto altro ancora. Per i browser piรน diffusi, esistono negozi ufficiali di estensioni che aiutano a selezionare, confrontare e installare i plug-in desiderati. Tuttavia, le estensioni possono essere installate anche da fonti non ufficiali.

Intermezzo promozionale ... continua la lettura dopo il box:

รˆ importante sottolineare che, per svolgere il proprio lavoro, unโ€™estensione deve avere il permesso di leggere e modificare il contenuto delle pagine web visualizzate nel browser. Se non gli diamo accesso, รจ probabile che svolga il suo lavoro e sia tutto inutile.

Nel caso di Google Chrome, le estensioni chiederanno il permesso di leggere e modificareย tuttiย i dati dellโ€™utente suย tuttiย i siti web visitati. Puรฒ sembrare una cosa non da poco, vero? Eppure, anche gli store ufficiali non prestano molta attenzione a questo aspetto.

Ad esempio, nel Chrome Web Store ufficiale, la sezione sulleย Norme di tutela della privacyย della popolare estensione Google Traduttore indica che lโ€™estensione raccoglie informazioni sulla posizione, sullโ€™attivitร  dellโ€™utente e sul contenuto del sito web. Ma il fatto che per funzionare abbia bisogno di accedere a tutti i dati, di tutti i siti web, non viene rivelato allโ€™utente finchรฉ non installa lโ€™estensione.

Lโ€™estensione di Google Traduttore chiede il permesso di โ€œleggere e modificare tutti i dati su tutti i siti webโ€ che visitate.

Molti, se non la maggior parte degli utenti, probabilmente non leggeranno nemmeno il messaggio e faranno automaticamente click suย aggiungi estensioneย per iniziare subito a utilizzare il plug-in. Tutto ciรฒ rappresenta unโ€™opportunitร  per i criminali informatici dato che ne approfittano per distribuireย adwareย e persinoย malwareย sotto le sembianze di estensioni apparentemente innocue.

Per quanto riguarda le estensioni adware, il diritto di alterare il contenuto visualizzato consente loro di mostrare annunci sui siti che lโ€™utente visita con frequenza. In questo caso, i creatori delle estensioni guadagnano soldi dagli utenti che cliccano sui link affiliati e tracciati che li portano verso i siti web degli inserzionisti. Per ottenere contenuti pubblicitari piรน mirati, possono anche analizzare le query di ricerca e altri dati.

Le conseguenze sono ancora peggiori quando si tratta di estensioni dannose. Se un hacker ha accesso ai contenuti di tutti i siti web visitati, potrebbe rubare i dati delleย carte di credito, i cookie e altreย informazioni sensibili. Esaminiamo alcuni esempi.

Programmi dannosi per i file di Office

Negli ultimi anni, i criminali informatici hanno diffuso attivamente estensioni adware con funzionalitร  WebSearch dannose. Le estensioni appartenenti alla famiglia WebSearch sono solitamente camuffate da strumenti per modificare file di Office come, ad esempio, tool per la conversione da Word a PDF.

La maggior parte di questi tool svolgono addirittura la funzione che dichiarano di svolgere. Ma poi, dopo lโ€™installazione, sostituiscono la consueta homepage del browser con un mini-sito con una barra di ricerca e link affiliati tracciati che portano a pagine di terze parti, come AliExpress o Farfetch.

Pagina iniziale del browser dopo aver scaricato una delle estensioni della famiglia WebSearch.

Una volta installata, lโ€™estensione cambia anche il motore di ricerca predefinito in qualcosa chiamato search.myway. Ciรฒ consente ai criminali informatici di salvare e analizzare le query di ricerca degli utenti e di fornire loro link piรน rilevanti in base ai loro interessi.

Attualmente, le estensioni WebSearch non sono piรน disponibili nello Chrome store ufficiale, ma รจ ancora possibile scaricarle da risorse di terze parti.

I componenti aggiuntivi adware che non vi lasceranno in pace

Gli add-on di tipo DealPly, unโ€™altra famiglia molto nota di estensioni adware, si intrufolano nei computer degli utenti generalmente insieme a contenuti pirata scaricati da siti di dubbia provenienza. Funzionano piรน o meno come i plug-in di WebSearch.

Anche le estensioni DealPly sostituiscono la homepage del browser con un minisito con link di affiliazione a piattaforme digitali popolari e, proprio come le estensioni WebSearch dannose, sostituiscono il motore di ricerca predefinito e analizzano le query di ricerca dellโ€™utente per creare annunci piรน personalizzati.

Homepage del browser dopo aver scaricato una delle estensioni della famiglia DealPly.

Inoltre, le estensioni della famiglia DealPly sono estremamente difficili da eliminare. Anche se lโ€™utente rimuove lโ€™estensione adware, questa si reinstalla sul dispositivo ogni volta che si apre il browser.

AddScript che distribuiscono cookie indesiderati

Le estensioni della famiglia AddScript spesso si mascherano da strumenti per scaricare musica e video dai social o da gestori di server proxy. Tuttavia, oltre a questa funzionalitร , infettano il dispositivo della vittima con codice dannoso. In seguito, gli hacker utilizzano questo codice per visualizzare i video in background senza che lโ€™utente se ne accorga e guadagnano soldi grazie allโ€™aumento del numero di visualizzazioni.

Unโ€™altra fonte di guadagno per i cybercriminali รจ il download di cookie sul dispositivo delle vittime. In generale, i cookie vengono memorizzati sul dispositivo dellโ€™utente quando visita un sito web e possono essere utilizzati come una sorta di โ€œcontrassegno digitaleโ€. In una situazione normale, i siti di affiliazione promettono di indirizzare i clienti verso un sito legittimo. Per farlo, attirano gli utenti verso il loro sito, il che (sempre in una situazione normale) avviene tramite contenuti interessanti o utili. A quel punto, immagazzinano un cookie sul computer dellโ€™utente e lo inviano al sito target tramite un link. Utilizzando questo cookie, il sito capisce da dove proviene il nuovo cliente e paga al partner una commissione: a volte per il reindirizzamento stesso, a volte per una percentuale sugli acquisti effettuati e a volte per una determinata azione, come la registrazione.

Gli autori di AddScript utilizzano unโ€™estensione dannosa che gli permette di approfittare di questo meccanismo. Invece di inviare i visitatori reali del sito web ai partner, scaricano molteplici cookie sui dispositivi infetti. Questi cookie servono come โ€œcontrassegnoโ€ per il programma partner dei truffatori, e gli hacker di AddScript ricevono un compenso. In realtร , non attirano affatto nuovi clienti e la loro attivitร  di โ€œpartnerโ€ consiste nellโ€™infettare i computer con queste estensioni dannose.

FB Stealer, un ladro di cookie

FB Stealer, unโ€™altra famiglia di estensioni dannose, funziona in modo diverso. A differenza di AddScript, questa estensione non scarica โ€œfunzionalitร  extraโ€ sul dispositivo, ma rubano i cookie importanti. Analizziamo meglio come funziona.

Lโ€™estensione FB Stealer penetra nei dispositivi degli utenti insieme al Trojan NullMixer, che di solito viene scaricato dalle vittime quando cercano di scaricare un programma di installazione hackerato. Una volta installato, il trojan modifica il file utilizzato per memorizzare le impostazioni del browser Chrome, comprese le informazioni sulle estensioni.

Poi, dopo essere stato attivato, FB Stealer finge di essere lโ€™estensione di Google Traduttore, in modo che gli utenti abbassino la guardia. Lโ€™estensione sembra molto convincente, lโ€™unica pecca รจ lโ€™avviso che informa del fatto che lo store ufficiale non contiene informazioni su tale estensione.

Avviso del browser secondo il quale lo store ufficiale non offre informazione sullโ€™estensione.

Inoltre, questo tipo di estensioni sostituiscono anche il motore di ricerca predefinito del browser, ma questo non รจ lโ€™aspetto piรน sgradevole di queste estensioni. La funzione principale di FB Stealer รจ quella di rubare i cookie di sessione agli utenti del piรน grande social network del mondo, da cui prende appunto il nome. Si tratta degli stessi cookie che consentono di evitare di effettuare il login ogni volta che si visita un determinato sito e che permettono agli hacker di entrare senza password. Grazie a questa tecnica, dopo aver hackerato un account, i criminali informatici possono, ad esempio, inviare messaggi ad amici e parenti della vittima e chiedere loro denaro.

Come proteggersi

Le estensioni del browser sono strumenti utili, ma รจ importante installarle con cautela e tenere presente che non sono sempre cosรฌ innocue come si potrebbe pensare. Quindi, vi suggeriamo di adottare le seguenti misure di sicurezza:

  • Scaricate le estensioni solo da fonti ufficiali. Ricordate che questa non รจ una garanzia di sicurezza assoluta: ogni tanto qualche estensione pericolosa riesce a penetrare negli store ufficiali. Tuttavia, queste piattaforme di solito ci tengono alla sicurezza degli utenti e rimuovono le estensioni dannose.
  • Non installate troppe estensioni e controllate regolarmente lโ€™elenco. Se nellโ€™elenco appare qualche estensione che non avete installato voi stessi, รจ bene preoccuparsi.
  • Utilizzate unaย soluzione di sicurezza affidabile come quella di Kaspersky.

Fonte : https://www.kaspersky.it/