Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca
Red Hot Cyber Academy

Google Chrome nel mirino! Estensioni VPN fraudolente su Chrome Scaricate 1,5 Milioni di Volte!

Redazione RHC : 24 Dicembre 2023 11:49

Gli specialisti di ReasonLabs hanno scoperto tre estensioni dannose per il browser Chrome che si mascheravano da VPN. Sono stati scaricati 1,5 milioni di volte e in realtà celavano all’interno l’infostealer cashback.

Queste estensioni pericolose venivano installate nei browser delle vittime e distribuite tramite programmi di installazione. Ad esempio all’interno di copie pirata di giochi popolari (Grand Theft Auto, Assassins Creed e The Sims 4) scaricate da tracker torrent.

Secondo gli esperti, la maggior parte dei contagi si è verificata in Russia, Ucraina, Kazakistan e Bielorussia. Questo accade poiché la campagna sembra mirata esclusivamente agli utenti di lingua russa.

Distribuzione geografica delle infezioni (fonte reasonlabs.com)

CORSO NIS2 : Network and Information system 2
La direttiva NIS2 rappresenta una delle novità più importanti per la sicurezza informatica in Europa, imponendo nuovi obblighi alle aziende e alle infrastrutture critiche per migliorare la resilienza contro le cyber minacce. Con scadenze stringenti e penalità elevate per chi non si adegua, comprendere i requisiti della NIS2 è essenziale per garantire la compliance e proteggere la tua organizzazione.

Accedi All'Anteprima del Corso condotto dall'Avv. Andrea Capelli sulla nostra Academy e segui l'anteprima gratuita.
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765 

Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Le estensioni dannose si chiamavano

  • netPlus (1 milione di installazioni);
  • netSave e netWin (500.000 installazioni ciascuna). 

Poiché ReasonLabs aveva già segnalato questo problema a Google, l’azienda ha rimosso le estensioni dannose dal Chrome Web Store. A questo punto il numero totale di installazioni aveva già superato 1,5 milioni.

I ricercatori sono stati in grado di rilevare più di mille diversi file torrent contenenti un programma di installazione dannoso. Ovvero un’applicazione Electron di dimensioni comprese tra 60 e 100 MB. Il programma di installazione ha verificato la presenza di prodotti antivirus sul computer infetto. Successivamente ha installato netSave in Google Chrome e netPlus in Microsoft Edge.

Il rapporto sottolinea che l’installazione di estensioni VPN false è avvenuta automaticamente, a livello di registro, e non ha richiesto la partecipazione dell’utente o alcuna azione da parte sua. Per dare alla vittima un senso di legittimità, le estensioni false includevano persino un’interfaccia utente realistica e offrivano abbonamenti a pagamento.

L’analisi del codice del malware ha mostrato che le estensioni avevano accesso a schede, archiviazione, proxy, webRequest, webRequestBlocking, dichiarativeNetRequest, scripting, allarmi, cookie, activeTab, gestione e offscreen. L’abuso dell’autorizzazione offscreen ha consentito al malware di eseguire script e di interagire segretamente con il DOM (Document Object Model) di una pagina web. Cioè, l’accesso al DOM ha permesso di rubare dati utente riservati, manipolare le richieste web e persino disabilitare altre estensioni installate.

Un’altra caratteristica degna di nota del malware, è la disattivazione di altre estensioni relative a cashback e coupon al fine di eliminare i concorrenti sul dispositivo infetto. Secondo ReasonLabs, il malware ha attaccato più di 100 estensioni simili, tra cui Avast SafePrice, AVG SafePrice, Honey: Automatic Coupons & Rewards, LetyShops, Megabonus, AliRadar Shopping Assistant, Yandex.Market Adviser, ChinaHelper e Backlit.

Alla fine del rapporto, i ricercatori raccomandano agli utenti di controllare regolarmente quali estensioni sono installate nel proprio browser. Inoltre controllare le nuove recensioni sul Chrome Web Store per assicurarsi che altre persone non segnalino comportamenti dannosi.

Di seguito gli indicatori di compromissione pubblicati sul sito reasonlabs.com.

Extension IDs:
Hjfhbdephncmhdmomijibpmfiodgjkmm (netPlus)
Ipjbhjmcbgmdjfiichbgbmpmgonokpkb (netSave)
Gandigjpilmchbomlpmfogigbjapofnc (netWin)
Fdfgdppinimkcndhhmacdldlmcmbkcmf (saveVPN)
Anacglcdpkfbbimecdffhhglnonejpec (Savemaktic)
Fajafkhgbcekjfffgnpbbjhdhimgffec (Previous version of Mallberry)

SHA-1s (Setup.exe):
32d3e031ca2d98f7719f1a4cee95b2d0fc846b8b
87d4f3c815154b963bf84395e543ba57ee1b99d9
5cf0bfd320bb3c5780a8aecc8463702858613e70
9f8d9bd326f8f93c3fda8aef7942d2bae9ef0fc3
B0cd0092a504e281ed1591ea8554ede3829a9470
b260c92a915abe887a8d37ff1528ca3dcacd78c9
b0cd0092a504e281ed1591ea8554ede3829a9470
9a893571b726f3305d5b7207317169e1976d11a2
ca379bc09fccc5abd0c3794f8e32b51712e75093
bfaeab7f0303501c5e40d9d8fa3c8700e8d94638
9f45ed7c615fe656211fb5fd515b5df0faa31518
833d5945dbdab024da6248a32cb3b5758ce490f4
d8b00934b5a30c2b15e0a761d4dbac10d89cc836
d3226b0af40311abc2506db4dc05e01416ff8107
06fe5e4d2ed1892bb58e551dc144d7dad2230e50
9b2de5ee838f4880a84c230b6503b3052271b147
47ae21212f023d8a0e7f3fb8a23f8bf58e5ace71
64528913496dfc93a4d33dbcf6dfcea18dfb5e4d
1c0a364d9c746ab96e832de5ea9f912936e4a454
6690a6e886ebaeab887ecced7bd86c121d4d779f

Signer Names:
SPICE & WOK LIMITED
DEVELOPMENT ACTION LTD

Network Activity (Domains Contacted):
Collector-...[.]px-cloud.net/api/v2?
T-oapp[.]ru
Netplus-vpn[.]ru
Netsave-vpn[.]ru
Savematik[.]com
trademc[.]org
Mallbery[.]com
188.114.96.7:443

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

Apple nel mirino: pubblicato su XSS un presunto data breach del gigante di Cupertino

14 maggio 2025 – Nelle prime ore di questa mattina, sul forum underground russo XSS, noto per essere una vetrina di primo piano per la compravendita di dati compromessi, è apparso un post ...

Fortinet: Un Nuovo Bug Di Sicurezza Consente Accessi Amministrativi Non Autorizzati

Diversi bug di sicurezza sono stati pubblicati recentemente sui prodotti Fortinet, i quali consentono agli aggressori di aggirare l’autenticazione e ottenere l’accesso amministrativo ai ...

RHC Conference 2025: 2 giorni di sicurezza informatica tra panel, workshop e Capture The Flag

Sabato 9 maggio, al Teatro Italia di Roma, si è chiusa la Red Hot Cyber Conference 2025, l’appuntamento annuale gratuito creato dalla community di RHC dedicato alla sicurezza informatica, ...

Gli hacker criminali di Nova rivendicano un attacco informatico al Comune di Pisa

La banda di criminali informatici di NOVA rivendica all’interno del proprio Data Leak Site (DLS) un attacco informatico al Comune di Pisa. Disclaimer: Questo rapporto include screenshot e/o tes...

Attacco informatico all’Università Roma Tre: intervengono ACN e Polizia Postale

Un grave attacco informatico ha colpito l’infrastruttura digitale dell’Università nella notte tra l’8 e il 9 maggio, causando l’interruzione improvvisa dei servizi onl...

Categorie
Segui i corsi di ethical hacking di CyberSecurityUP
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

PRINCIPALI CATEGORIE
Attacchi Informatici Italiani
Dark Web & Cybercrime
0day, bug e Vulnerabilità
Hacking
Cybersecurity Italia
Cyberpolitica & Intelligence

RISORSE
Academy
Rubriche
Il manifesto di Red Hot Cyber
Feed RSS
Contatti

Copyright @ REDHOTCYBER Srl
PIVA 17898011006