Tutti abbiamo probabilmente installato almeno una volta unโestensione per il browser, ad esempio, un ad-blocker, un traduttore online, un correttore ortografico o altro. Tuttavia, pochi di noi si fermano a pensare: โรจ sicuro?โ. Purtroppo queste estensioni, apparentemente innocue, possono essere molto piรน pericolose di quanto non sembrino a prima vista. Oggi analizzeremo i pericoli che si celano dietro queste applicazioni e per farlo, utilizzeremo i dati contenuti nelย recente report elaborato dai nostri espertiย sulle principali estensioni dannose per il browser.
Cosa sono e cosa fanno le estensioni?
Iniziamo con la definizione di base e identifichiamo la radice del problema. Unโestensione del browser รจ un plug-in che aggiunge funzionalitร al browser. Ad esempio, possono bloccare gli annunci pubblicitari sulle pagine web, prendere appunti, controllare lโortografia e molto altro ancora. Per i browser piรน diffusi, esistono negozi ufficiali di estensioni che aiutano a selezionare, confrontare e installare i plug-in desiderati. Tuttavia, le estensioni possono essere installate anche da fonti non ufficiali.
Intermezzo promozionale ... continua la lettura dopo il box:
Usufruisci di uno sconto per fare un CONTROLLO DELLA REPUTAZIONE PERSONALE o AZIENDALE [ click qui ]
ร importante sottolineare che, per svolgere il proprio lavoro, unโestensione deve avere il permesso di leggere e modificare il contenuto delle pagine web visualizzate nel browser. Se non gli diamo accesso, รจ probabile che svolga il suo lavoro e sia tutto inutile.
Nel caso di Google Chrome, le estensioni chiederanno il permesso di leggere e modificareย tuttiย i dati dellโutente suย tuttiย i siti web visitati. Puรฒ sembrare una cosa non da poco, vero? Eppure, anche gli store ufficiali non prestano molta attenzione a questo aspetto.
Ad esempio, nel Chrome Web Store ufficiale, la sezione sulleย Norme di tutela della privacyย della popolare estensione Google Traduttore indica che lโestensione raccoglie informazioni sulla posizione, sullโattivitร dellโutente e sul contenuto del sito web. Ma il fatto che per funzionare abbia bisogno di accedere a tutti i dati, di tutti i siti web, non viene rivelato allโutente finchรฉ non installa lโestensione.
Lโestensione di Google Traduttore chiede il permesso di โleggere e modificare tutti i dati su tutti i siti webโ che visitate.
Molti, se non la maggior parte degli utenti, probabilmente non leggeranno nemmeno il messaggio e faranno automaticamente click suย aggiungi estensioneย per iniziare subito a utilizzare il plug-in. Tutto ciรฒ rappresenta unโopportunitร per i criminali informatici dato che ne approfittano per distribuireย adwareย e persinoย malwareย sotto le sembianze di estensioni apparentemente innocue.
Per quanto riguarda le estensioni adware, il diritto di alterare il contenuto visualizzato consente loro di mostrare annunci sui siti che lโutente visita con frequenza. In questo caso, i creatori delle estensioni guadagnano soldi dagli utenti che cliccano sui link affiliati e tracciati che li portano verso i siti web degli inserzionisti. Per ottenere contenuti pubblicitari piรน mirati, possono anche analizzare le query di ricerca e altri dati.
Le conseguenze sono ancora peggiori quando si tratta di estensioni dannose. Se un hacker ha accesso ai contenuti di tutti i siti web visitati, potrebbe rubare i dati delleย carte di credito, i cookie e altreย informazioni sensibili. Esaminiamo alcuni esempi.
Intermezzo promozionale ... continua la lettura dopo il box:
Programmi dannosi per i file di Office
Negli ultimi anni, i criminali informatici hanno diffuso attivamente estensioni adware con funzionalitร WebSearch dannose. Le estensioni appartenenti alla famiglia WebSearch sono solitamente camuffate da strumenti per modificare file di Office come, ad esempio, tool per la conversione da Word a PDF.
La maggior parte di questi tool svolgono addirittura la funzione che dichiarano di svolgere. Ma poi, dopo lโinstallazione, sostituiscono la consueta homepage del browser con un mini-sito con una barra di ricerca e link affiliati tracciati che portano a pagine di terze parti, come AliExpress o Farfetch.
Pagina iniziale del browser dopo aver scaricato una delle estensioni della famiglia WebSearch.
Una volta installata, lโestensione cambia anche il motore di ricerca predefinito in qualcosa chiamato search.myway. Ciรฒ consente ai criminali informatici di salvare e analizzare le query di ricerca degli utenti e di fornire loro link piรน rilevanti in base ai loro interessi.
Attualmente, le estensioni WebSearch non sono piรน disponibili nello Chrome store ufficiale, ma รจ ancora possibile scaricarle da risorse di terze parti.
I componenti aggiuntivi adware che non vi lasceranno in pace
Gli add-on di tipo DealPly, unโaltra famiglia molto nota di estensioni adware, si intrufolano nei computer degli utenti generalmente insieme a contenuti pirata scaricati da siti di dubbia provenienza. Funzionano piรน o meno come i plug-in di WebSearch.
Anche le estensioni DealPly sostituiscono la homepage del browser con un minisito con link di affiliazione a piattaforme digitali popolari e, proprio come le estensioni WebSearch dannose, sostituiscono il motore di ricerca predefinito e analizzano le query di ricerca dellโutente per creare annunci piรน personalizzati.
Homepage del browser dopo aver scaricato una delle estensioni della famiglia DealPly.
Inoltre, le estensioni della famiglia DealPly sono estremamente difficili da eliminare. Anche se lโutente rimuove lโestensione adware, questa si reinstalla sul dispositivo ogni volta che si apre il browser.
AddScript che distribuiscono cookie indesiderati
Le estensioni della famiglia AddScript spesso si mascherano da strumenti per scaricare musica e video dai social o da gestori di server proxy. Tuttavia, oltre a questa funzionalitร , infettano il dispositivo della vittima con codice dannoso. In seguito, gli hacker utilizzano questo codice per visualizzare i video in background senza che lโutente se ne accorga e guadagnano soldi grazie allโaumento del numero di visualizzazioni.
Unโaltra fonte di guadagno per i cybercriminali รจ il download di cookie sul dispositivo delle vittime. In generale, i cookie vengono memorizzati sul dispositivo dellโutente quando visita un sito web e possono essere utilizzati come una sorta di โcontrassegno digitaleโ. In una situazione normale, i siti di affiliazione promettono di indirizzare i clienti verso un sito legittimo. Per farlo, attirano gli utenti verso il loro sito, il che (sempre in una situazione normale) avviene tramite contenuti interessanti o utili. A quel punto, immagazzinano un cookie sul computer dellโutente e lo inviano al sito target tramite un link. Utilizzando questo cookie, il sito capisce da dove proviene il nuovo cliente e paga al partner una commissione: a volte per il reindirizzamento stesso, a volte per una percentuale sugli acquisti effettuati e a volte per una determinata azione, come la registrazione.
Gli autori di AddScript utilizzano unโestensione dannosa che gli permette di approfittare di questo meccanismo. Invece di inviare i visitatori reali del sito web ai partner, scaricano molteplici cookie sui dispositivi infetti. Questi cookie servono come โcontrassegnoโ per il programma partner dei truffatori, e gli hacker di AddScript ricevono un compenso. In realtร , non attirano affatto nuovi clienti e la loro attivitร di โpartnerโ consiste nellโinfettare i computer con queste estensioni dannose.
FB Stealer, un ladro di cookie
FB Stealer, unโaltra famiglia di estensioni dannose, funziona in modo diverso. A differenza di AddScript, questa estensione non scarica โfunzionalitร extraโ sul dispositivo, ma rubano i cookie importanti. Analizziamo meglio come funziona.
Lโestensione FB Stealer penetra nei dispositivi degli utenti insieme al Trojan NullMixer, che di solito viene scaricato dalle vittime quando cercano di scaricare un programma di installazione hackerato. Una volta installato, il trojan modifica il file utilizzato per memorizzare le impostazioni del browser Chrome, comprese le informazioni sulle estensioni.
Poi, dopo essere stato attivato, FB Stealer finge di essere lโestensione di Google Traduttore, in modo che gli utenti abbassino la guardia. Lโestensione sembra molto convincente, lโunica pecca รจ lโavviso che informa del fatto che lo store ufficiale non contiene informazioni su tale estensione.
Avviso del browser secondo il quale lo store ufficiale non offre informazione sullโestensione.
Inoltre, questo tipo di estensioni sostituiscono anche il motore di ricerca predefinito del browser, ma questo non รจ lโaspetto piรน sgradevole di queste estensioni. La funzione principale di FB Stealer รจ quella di rubare i cookie di sessione agli utenti del piรน grande social network del mondo, da cui prende appunto il nome. Si tratta degli stessi cookie che consentono di evitare di effettuare il login ogni volta che si visita un determinato sito e che permettono agli hacker di entrare senza password. Grazie a questa tecnica, dopo aver hackerato un account, i criminali informatici possono, ad esempio, inviare messaggi ad amici e parenti della vittima e chiedere loro denaro.
Come proteggersi
Le estensioni del browser sono strumenti utili, ma รจ importante installarle con cautela e tenere presente che non sono sempre cosรฌ innocue come si potrebbe pensare. Quindi, vi suggeriamo di adottare le seguenti misure di sicurezza:
- Scaricate le estensioni solo da fonti ufficiali. Ricordate che questa non รจ una garanzia di sicurezza assoluta: ogni tanto qualche estensione pericolosa riesce a penetrare negli store ufficiali. Tuttavia, queste piattaforme di solito ci tengono alla sicurezza degli utenti e rimuovono le estensioni dannose.
- Non installate troppe estensioni e controllate regolarmente lโelenco. Se nellโelenco appare qualche estensione che non avete installato voi stessi, รจ bene preoccuparsi.
- Utilizzate unaย soluzione di sicurezza affidabile come quella di Kaspersky.
Fonte : https://www.kaspersky.it/
