32 estensioni Chrome scaricate 75 milioni di volte contenevano malware capace di reindirizzare gli utenti

Google ha rimosso 32 estensioni dannose dal Chrome Web Store, per un totale di 75 milioni di download.

Il ricercatore di sicurezza informatica Vladimir Palant ha analizzato una di queste estensioni, chiamata “PDF Toolbox” con 2 milioni di download, disponibile sul Chrome Web Store, e ha scoperto che conteneva malware offuscato che non è stato rilevato per almeno un anno.

Questo codice consente al sito Web “serasearchtop[.]com” di inserire codice JavaScript arbitrario in ogni sito Web visitato. “Anche se non posso dire a cosa serva, l’uso più probabile è quello di iniettare annunci. Ma sono possibili anche applicazioni più nefaste”, ha affermato Palant.

Qualche giorno fa, un ricercatore ha pubblicato un altro post su questo. Palant ha avvertito di aver trovato lo stesso codice sospetto in altre 18 estensioni di Chrome con un totale di 55 milioni di download. Alcuni esempi includono:

• YouTube Ad Auto-skipper – 9 milioni di utenti attivi;
• Soundboost – 6,9 milioni di utenti attivi;
• Block Crystal Ad – 6,8 milioni di utenti attivi;
• Brisk VPN – 5,6 milioni di utenti attivi;
• Clipboard Helper – 3,5 milioni di utenti attivi;
• Maxi Refresher – 3,5 milioni di utenti attivi.

Sebbene il ricercatore non abbia osservato alcuna attività palesemente dannosa dalle estensioni, ha notato che ci sono numerose segnalazioni di utenti nello store che indicano che le estensioni stavano reindirizzando e intercettando i risultati della ricerca. I tentativi di segnalare a Google la cosa non hanno avuto successo.

Avast oggi ha dichiarato di aver segnalato a Google le estensioni trovate da Palant dopo aver confermato che erano dannose. Gli specialisti dell’azienda hanno condotto un’analisi più approfondita e ampliato l’elenco a 32 estensioni. 

Complessivamente, sono stati installati 75 milioni di volte. Stranamente, su richiesta di un’azienda così grande, le extension sono state rimosse dal negozio in tempi estremamente rapidi.

I ricercatori hanno affermato che le estensioni non sono altro che adware. Intercettano i risultati di ricerca degli utenti per visualizzare link sponsorizzati e risultati a pagamento, a volte contenenti anche link dannosi.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Marcello Filacchioni

ICT CISO e Cyber Security Manager con oltre vent’anni di esperienza tra settore pubblico e privato, ha guidato progetti di sicurezza informatica per realtà di primo piano. Specializzato in risk management, governance e trasformazione digitale, ha collaborato con vendor internazionali e startup innovative, contribuendo all’introduzione di soluzioni di cybersecurity avanzate. Possiede numerose certificazioni (CISM, CRISC, CISA, PMP, ITIL, CEH, Cisco, Microsoft, VMware) e svolge attività di docenza pro bono in ambito Cyber Security, unendo passione per l’innovazione tecnologica e impegno nella diffusione della cultura della sicurezza digitale.

Aree di competenza: Cyber Security Strategy & Governance, Vulnerability Management & Security Operations.