Più di 100.000 computer sono stati infettati a causa di estensioni malevole contenute nel Chrome Web Store. Lo scam era attivo da marzo e ha coinvolto ben sette estensioni con lo scopo di sottrarre credenziali e minare criptovalute in background.
Come avviene la frode
Le estensioni vengono nascoste in link trasmessi principalmente con Facebook e Instagram. Aprendo uno dei link, la vittima verrà reindirizzata a una pagina fake di YouTube, in cui viene richiesta l’installazione della estensione. Successivamente viene eseguito un JavaScript che collega il computer a una botnet, ovvero una rete di dispositivi connessi tra loro per eseguire bot malevoli (ad esempio attacchi DDoS). La botnet provvederà quindi a sottrarre il login dei social della vittima, per poi inviare lo stesso link alla sua lista di amici.
Ma c’è di più. Inoltre, infatti, vengono installati dei miner per le criptovalute Monero, Bytecoin e altre valute minori. Per evitarne la rimozione, lo script provvede alla chiusura automatica dell’estensione quando si tenta di aprirla, oltre a disabilitare i tool di sicurezza di Facebook e Google.
Le estensioni incriminate
I nomi delle sette estensioni trovate sono:
– Nigelify
– PwnerLike
– Alt-j
– Fix-case
– Divinity 2 Original Sin: Wiki Skill Popup
– Keeprivate
– iHabno
La scoperta è stata fatta da alcuni ricercatori di Radware, un noto provider di servizi di cyber security. Dalle ricerche è emerso che almeno uno dei computer infetti apparteneva a un’importante azienda internazionale, di cui non è stato rivelato il nome.
Il team di sicurezza di Google aveva già rimosso in autonomia cinque estensioni, mentre le restanti due sono state rimosse solo dopo il report di Radware. Non è comunque escluso che possano essercene altre in circolazione.
Un problema ricorrente
Dati alla mano, negli ultimi otto mesi le estensioni di Chrome si sono rivelate essere un tallone d’Achille per il browser più utilizzato al mondo.
Lo scorso agosto, la compromissione di due estensioni ha portato all’infezione di circa un milione di dispositivi. A gennaio, invece, i ricercatori di Google hanno scovato cinque estensioni installate circa 500.000 volte. Solo due settimane fa, Trend Micro ha annunciato il ritorno di FacexWorm, un’estensione molto simile a quelle rilevate da Radware.
Il team di Google sta lavorando duramente per rendere più sicuro il suo browser, ma nel frattempo si consiglia di prestare molta attenzione a cosa si installa.