Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Le funzionalità di intelligenza artificiale si sono evolute fino a diventare uno strumento ormai usuale nei browser. Nelle conversazioni, molti utenti inseriscono frammenti di lavoro o spezzoni di codice e rivolgono varie domande ai chatbot; contestualmente, solitamente aprono la barra laterale.
Gli aggressori hanno sfruttato questa nostra abitudine.
Camuffati da utili assistenti per la comunicazione con le reti neurali, componenti aggiuntivi dannosi sono stati distribuiti negli store di estensioni, raccogliendo in modo discreto le conversazioni degli utenti con i chatbot e la cronologia di navigazione.
Gli specialisti di Microsoft Defender hanno scoperto diverse estensioni dannose per i browser basati su Chromium.
Questi componenti aggiuntivi si mascheravano da strumenti di intelligenza artificiale e venivano distribuiti tramite il Chrome Web Store ufficiale . Microsoft stima che le estensioni siano state installate circa 900.000 volte. La telemetria ha inoltre rilevato attività in oltre 20.000 organizzazioni aziendali in cui i dipendenti utilizzano regolarmente chatbot e inseriscono dati sensibili.
Una volta installata, l’estensione ha iniziato a raccogliere gli URL completi delle pagine visitate e il contenuto delle conversazioni con i chatbot. Questi servizi includevano ChatGPT e DeepSeek. Di conseguenza, gli aggressori sono stati in grado di ottenere frammenti di codice di programma, istruzioni interne, discussioni di lavoro e altre informazioni aziendali sensibili.
L’attacco si basava sulla fiducia degli utenti negli strumenti di produttività. Gli aggressori hanno studiato le estensioni più diffuse per lavorare con le reti neurali, come AITOPIA, e ne hanno replicato l’aspetto, le descrizioni e le richieste di autorizzazione. Di conseguenza, i componenti aggiuntivi dannosi sembravano normali assistenti per la comunicazione con l’intelligenza artificiale.
Le estensioni funzionavano sui browser Google Chrome e Microsoft Edge. Una volta installato, il componente aggiuntivo iniziava a monitorare l’attività dell’utente in background. Il programma registrava indirizzi di siti web e frammenti di messaggi visualizzati durante le interazioni con i chatbot. I dati raccolti venivano temporaneamente archiviati sul computer e poi inviati periodicamente a server remoti.
Il componente aggiuntivo utilizzava il modello di autorizzazioni standard del browser. Una volta installata, l’estensione otteneva accesso al contenuto della pagina e poteva monitorare l’attività dell’utente senza richiedere autorizzazioni aggiuntive. Tuttavia, il meccanismo di consenso era ingannevole. L’utente poteva disabilitare la raccolta dati , ma dopo l’aggiornamento dell’estensione, la telemetria veniva automaticamente riattivata.
Gli aggressori non hanno utilizzato metodi sofisticati per infiltrarsi nel sistema. L’estensione è semplicemente rimasta nel browser e si è caricata automaticamente ogni volta che il programma veniva avviato. Questo comportamento sembrava essere normale per qualsiasi componente aggiuntivo installato.
Il trasferimento dei dati è avvenuto tramite richieste HTTPS standard. L’estensione ha inviato informazioni ai domini
Il traffico sembrava normale attività web, rendendo difficile rilevare la perdita. Dopo l’invio, i dati sono stati eliminati dall’archiviazione locale, rendendo difficile l’analisi successiva.
L’estensione dannosa ha registrato quasi tutte le pagine visitate e le porzioni di messaggi provenienti da conversazioni con reti neurali. I dati sono stati salvati in formato JSON e codificati in Base64. Le informazioni raccolte includevano indirizzi web completi, inclusi quelli delle risorse aziendali interne, frammenti di conversazioni, nomi dei modelli utilizzati e un ID utente univoco.
Questo schema ha di fatto trasformato l’estensione del browser in un meccanismo permanente di raccolta dati. Gli utenti hanno continuato a utilizzare i loro strumenti abituali, ignari del fatto che le conversazioni del loro chatbot e la cronologia di navigazione venivano regolarmente trasferite a server di terze parti.
Microsoft consiglia alle organizzazioni di esaminare le estensioni installate nei browser dei dipendenti e di monitorare le connessioni di rete verso domini sospetti. Raccomanda inoltre di limitare l’installazione di componenti aggiuntivi e di prestare maggiore attenzione agli strumenti che promettono di migliorare l’esperienza con l’intelligenza artificiale. Anche una semplice estensione dello store ufficiale può essere fonte di fuga di dati .
