Google Chrome nel mirino! Estensioni VPN fraudolente su Chrome Scaricate 1,5 Milioni di Volte!

Redazione RHC : 24 Dicembre 2023 11:49

Gli specialisti di ReasonLabs hanno scoperto tre estensioni dannose per il browser Chrome che si mascheravano da VPN. Sono stati scaricati 1,5 milioni di volte e in realtà celavano all’interno l’infostealer cashback.

Queste estensioni pericolose venivano installate nei browser delle vittime e distribuite tramite programmi di installazione. Ad esempio all’interno di copie pirata di giochi popolari (Grand Theft Auto, Assassins Creed e The Sims 4) scaricate da tracker torrent.

Secondo gli esperti, la maggior parte dei contagi si è verificata in Russia, Ucraina, Kazakistan e Bielorussia. Questo accade poiché la campagna sembra mirata esclusivamente agli utenti di lingua russa.

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Le estensioni dannose si chiamavano

• netPlus (1 milione di installazioni);
• netSave e netWin (500.000 installazioni ciascuna). 

Poiché ReasonLabs aveva già segnalato questo problema a Google, l’azienda ha rimosso le estensioni dannose dal Chrome Web Store. A questo punto il numero totale di installazioni aveva già superato 1,5 milioni.

I ricercatori sono stati in grado di rilevare più di mille diversi file torrent contenenti un programma di installazione dannoso. Ovvero un’applicazione Electron di dimensioni comprese tra 60 e 100 MB. Il programma di installazione ha verificato la presenza di prodotti antivirus sul computer infetto. Successivamente ha installato netSave in Google Chrome e netPlus in Microsoft Edge.

Il rapporto sottolinea che l’installazione di estensioni VPN false è avvenuta automaticamente, a livello di registro, e non ha richiesto la partecipazione dell’utente o alcuna azione da parte sua. Per dare alla vittima un senso di legittimità, le estensioni false includevano persino un’interfaccia utente realistica e offrivano abbonamenti a pagamento.

L’analisi del codice del malware ha mostrato che le estensioni avevano accesso a schede, archiviazione, proxy, webRequest, webRequestBlocking, dichiarativeNetRequest, scripting, allarmi, cookie, activeTab, gestione e offscreen. L’abuso dell’autorizzazione offscreen ha consentito al malware di eseguire script e di interagire segretamente con il DOM (Document Object Model) di una pagina web. Cioè, l’accesso al DOM ha permesso di rubare dati utente riservati, manipolare le richieste web e persino disabilitare altre estensioni installate.

Un’altra caratteristica degna di nota del malware, è la disattivazione di altre estensioni relative a cashback e coupon al fine di eliminare i concorrenti sul dispositivo infetto. Secondo ReasonLabs, il malware ha attaccato più di 100 estensioni simili, tra cui Avast SafePrice, AVG SafePrice, Honey: Automatic Coupons & Rewards, LetyShops, Megabonus, AliRadar Shopping Assistant, Yandex.Market Adviser, ChinaHelper e Backlit.

Alla fine del rapporto, i ricercatori raccomandano agli utenti di controllare regolarmente quali estensioni sono installate nel proprio browser. Inoltre controllare le nuove recensioni sul Chrome Web Store per assicurarsi che altre persone non segnalino comportamenti dannosi.

Di seguito gli indicatori di compromissione pubblicati sul sito reasonlabs.com.

Extension IDs:
Hjfhbdephncmhdmomijibpmfiodgjkmm (netPlus)
Ipjbhjmcbgmdjfiichbgbmpmgonokpkb (netSave)
Gandigjpilmchbomlpmfogigbjapofnc (netWin)
Fdfgdppinimkcndhhmacdldlmcmbkcmf (saveVPN)
Anacglcdpkfbbimecdffhhglnonejpec (Savemaktic)
Fajafkhgbcekjfffgnpbbjhdhimgffec (Previous version of Mallberry)

SHA-1s (Setup.exe):
32d3e031ca2d98f7719f1a4cee95b2d0fc846b8b
87d4f3c815154b963bf84395e543ba57ee1b99d9
5cf0bfd320bb3c5780a8aecc8463702858613e70
9f8d9bd326f8f93c3fda8aef7942d2bae9ef0fc3
B0cd0092a504e281ed1591ea8554ede3829a9470
b260c92a915abe887a8d37ff1528ca3dcacd78c9
b0cd0092a504e281ed1591ea8554ede3829a9470
9a893571b726f3305d5b7207317169e1976d11a2
ca379bc09fccc5abd0c3794f8e32b51712e75093
bfaeab7f0303501c5e40d9d8fa3c8700e8d94638
9f45ed7c615fe656211fb5fd515b5df0faa31518
833d5945dbdab024da6248a32cb3b5758ce490f4
d8b00934b5a30c2b15e0a761d4dbac10d89cc836
d3226b0af40311abc2506db4dc05e01416ff8107
06fe5e4d2ed1892bb58e551dc144d7dad2230e50
9b2de5ee838f4880a84c230b6503b3052271b147
47ae21212f023d8a0e7f3fb8a23f8bf58e5ace71
64528913496dfc93a4d33dbcf6dfcea18dfb5e4d
1c0a364d9c746ab96e832de5ea9f912936e4a454
6690a6e886ebaeab887ecced7bd86c121d4d779f

Signer Names:
SPICE & WOK LIMITED
DEVELOPMENT ACTION LTD

Network Activity (Domains Contacted):
Collector-...[.]px-cloud.net/api/v2?
T-oapp[.]ru
Netplus-vpn[.]ru
Netsave-vpn[.]ru
Savematik[.]com
trademc[.]org
Mallbery[.]com
188.114.96.7:443

Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli