Due miliardi di utenti di Google Chrome sono stati colpiti da una nuova minaccia, una massiccia operazione spyware che ha attaccato tramite 32 milioni di download di estensioni malevole. Segnalato per la prima volta da Reuters, l’operazione spyware è stata rivelata dai ricercatori di Awake Security.
Il browser Chrome di Google può essere personalizzato sul desktop aggiungendo estensioni che si scaricano dallo Store. Da febbraio 2010, più di 2200 estensioni sono state pubblicate dai rispettivi sviluppatori, tutti gli utenti di un account Google possono pubblicare le proprie estensioni usando le API di Google. Sia con le estensioni che con le app di Chrome gli utenti modificano in base alle loro esigenze il modo in cui accedono e usano internet.
Lo spyware ha funzionato monitorando l’utilizzo del browser Chrome di una vittima e trasmettendo informazioni dopo essersi connesso a una serie di siti. Sebbene le estensioni malevole per Chrome siano state progettate per eludere il rilevamento da parte di software antivirus, le reti aziendali che utilizzano strumenti di sicurezza non avrebbero trasmesso queste informazioni né si sarebbero collegati ai suddetti siti Web.
La maggior parte delle estensioni-spia gratuite, si presentavano come strumenti per aiutare gli utenti a riconoscere i siti web non sicuri o per convertire file da un formato all’altro. Invece catturavano tutta la cronologia della navigazione e dati che potevano portare alle credenziali di accesso di documenti sensibili.
Il metodo usato dai criminali informatici ha permesso comunque di nascondere migliaia di domini malevoli. Di questi, oltre 15.000 erano tutti collegati tra loro e acquistati da Galcomm, un piccolo registrar con sede in Israele, che però ha negato ogni coinvolgimento in queste attività illecite.
Google ha dichiarato di aver già rimosso 70 estensioni dannose dal suo Chrome Store dopo aver ricevuto comunicazione dai ricercatori lo scorso mese: “Quando veniamo a conoscenza di estensioni nel Web Store che violano le nostre regole, adottiamo le misure necessarie e utilizziamo tali incidenti come materiale da cui imparare per migliorare le nostre analisi sia automatizzate che manuali”, ha affermato il portavoce di Google, Scott Westover.
Per numero di download si è trattato del più vasto attacco malware sul Web Store di Chrome mai realizzato, secondo Gary Golomb, co-fondatore e chief scientist di Awake. I ricercatori non hanno per ora individuato la fonte dell’attacco spyware.
Google non ha riferito informazioni sulle dimensioni delle campagne di spyware condotte sul suo Chrome Store e non ha nemmeno spiegato perché non abbia autonomamente identificato e rimosso le estensioni malevole nonostante si fosse impegnato da tempo a verificare con maggiore attenzione l’offerta sul Web Store di Chrome.
Essendo di gran lunga il browser più utilizzato, comunque, Chrome sarà sempre un obiettivo per campagne di questo tipo. Ma come difendersi? I professionisti della sicurezza consigliano di installare le estensioni solo quando ce n’è davvero bisogno. “È importante controllare sempre le autorizzazioni richieste da un’estensione del browser. Non installare quelle che richiedono autorizzazioni eccessive per l’attività che svolgono: è meglio cercare un’estensione alternativa, meno rischiosa“, avvertono. Inoltre, è consigliabile rivedere regolarmente le estensioni installate (chrome: // extensions) e rimuovere quelle non più utilizzate.
https://awakesecurity.com/white-papers/the-internets-new-arms-dealers-malicious-domain-registrars/
