Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Home
Google Chrome nel mirino! Estensioni VPN fraudolente su Chrome Scaricate 1,5 Milioni di Volte!

Google Chrome nel mirino! Estensioni VPN fraudolente su Chrome Scaricate 1,5 Milioni di Volte!

24 Dicembre 2023 11:49

Gli specialisti di ReasonLabs hanno scoperto tre estensioni dannose per il browser Chrome che si mascheravano da VPN. Sono stati scaricati 1,5 milioni di volte e in realtà celavano all’interno l’infostealer cashback.

Queste estensioni pericolose venivano installate nei browser delle vittime e distribuite tramite programmi di installazione. Ad esempio all’interno di copie pirata di giochi popolari (Grand Theft Auto, Assassins Creed e The Sims 4) scaricate da tracker torrent.

Secondo gli esperti, la maggior parte dei contagi si è verificata in Russia, Ucraina, Kazakistan e Bielorussia. Questo accade poiché la campagna sembra mirata esclusivamente agli utenti di lingua russa.

Advertising
Distribuzione geografica delle infezioni (fonte reasonlabs.com)

Le estensioni dannose si chiamavano

  • netPlus (1 milione di installazioni);
  • netSave e netWin (500.000 installazioni ciascuna). 

Poiché ReasonLabs aveva già segnalato questo problema a Google, l’azienda ha rimosso le estensioni dannose dal Chrome Web Store. A questo punto il numero totale di installazioni aveva già superato 1,5 milioni.

I ricercatori sono stati in grado di rilevare più di mille diversi file torrent contenenti un programma di installazione dannoso. Ovvero un’applicazione Electron di dimensioni comprese tra 60 e 100 MB. Il programma di installazione ha verificato la presenza di prodotti antivirus sul computer infetto. Successivamente ha installato netSave in Google Chrome e netPlus in Microsoft Edge.

Il rapporto sottolinea che l’installazione di estensioni VPN false è avvenuta automaticamente, a livello di registro, e non ha richiesto la partecipazione dell’utente o alcuna azione da parte sua. Per dare alla vittima un senso di legittimità, le estensioni false includevano persino un’interfaccia utente realistica e offrivano abbonamenti a pagamento.

L’analisi del codice del malware ha mostrato che le estensioni avevano accesso a schede, archiviazione, proxy, webRequest, webRequestBlocking, dichiarativeNetRequest, scripting, allarmi, cookie, activeTab, gestione e offscreen. L’abuso dell’autorizzazione offscreen ha consentito al malware di eseguire script e di interagire segretamente con il DOM (Document Object Model) di una pagina web. Cioè, l’accesso al DOM ha permesso di rubare dati utente riservati, manipolare le richieste web e persino disabilitare altre estensioni installate.

Advertising

Un’altra caratteristica degna di nota del malware, è la disattivazione di altre estensioni relative a cashback e coupon al fine di eliminare i concorrenti sul dispositivo infetto. Secondo ReasonLabs, il malware ha attaccato più di 100 estensioni simili, tra cui Avast SafePrice, AVG SafePrice, Honey: Automatic Coupons & Rewards, LetyShops, Megabonus, AliRadar Shopping Assistant, Yandex.Market Adviser, ChinaHelper e Backlit.

Alla fine del rapporto, i ricercatori raccomandano agli utenti di controllare regolarmente quali estensioni sono installate nel proprio browser. Inoltre controllare le nuove recensioni sul Chrome Web Store per assicurarsi che altre persone non segnalino comportamenti dannosi.

Di seguito gli indicatori di compromissione pubblicati sul sito reasonlabs.com.

Extension IDs:
Hjfhbdephncmhdmomijibpmfiodgjkmm (netPlus)
Ipjbhjmcbgmdjfiichbgbmpmgonokpkb (netSave)
Gandigjpilmchbomlpmfogigbjapofnc (netWin)
Fdfgdppinimkcndhhmacdldlmcmbkcmf (saveVPN)
Anacglcdpkfbbimecdffhhglnonejpec (Savemaktic)
Fajafkhgbcekjfffgnpbbjhdhimgffec (Previous version of Mallberry)

SHA-1s (Setup.exe):
32d3e031ca2d98f7719f1a4cee95b2d0fc846b8b
87d4f3c815154b963bf84395e543ba57ee1b99d9
5cf0bfd320bb3c5780a8aecc8463702858613e70
9f8d9bd326f8f93c3fda8aef7942d2bae9ef0fc3
B0cd0092a504e281ed1591ea8554ede3829a9470
b260c92a915abe887a8d37ff1528ca3dcacd78c9
b0cd0092a504e281ed1591ea8554ede3829a9470
9a893571b726f3305d5b7207317169e1976d11a2
ca379bc09fccc5abd0c3794f8e32b51712e75093
bfaeab7f0303501c5e40d9d8fa3c8700e8d94638
9f45ed7c615fe656211fb5fd515b5df0faa31518
833d5945dbdab024da6248a32cb3b5758ce490f4
d8b00934b5a30c2b15e0a761d4dbac10d89cc836
d3226b0af40311abc2506db4dc05e01416ff8107
06fe5e4d2ed1892bb58e551dc144d7dad2230e50
9b2de5ee838f4880a84c230b6503b3052271b147
47ae21212f023d8a0e7f3fb8a23f8bf58e5ace71
64528913496dfc93a4d33dbcf6dfcea18dfb5e4d
1c0a364d9c746ab96e832de5ea9f912936e4a454
6690a6e886ebaeab887ecced7bd86c121d4d779f

Signer Names:
SPICE & WOK LIMITED
DEVELOPMENT ACTION LTD

Network Activity (Domains Contacted):
Collector-...[.]px-cloud.net/api/v2?
T-oapp[.]ru
Netplus-vpn[.]ru
Netsave-vpn[.]ru
Savematik[.]com
trademc[.]org
Mallbery[.]com
188.114.96.7:443

📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su 🔔 Google News.
Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram.
Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici


Sandro Sana 300x300
CISO, Head of Cybersecurity del gruppo Eurosystem SpA. Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA. Fa parte del Comitato Scientifico del Competence Center nazionale Cyber 4.0, dove contribuisce all’indirizzo strategico delle attività di ricerca, formazione e innovazione nella cybersecurity. Autore del libro "IL FUTURO PROSSIMO"
Aree di competenza: Cyber Threat Intelligence, NIS2, Governance & Compliance della Sicurezza, CSIRT & Crisis Management, Ricerca, Divulgazione e Cultura Cyber
Visita il sito web dell'autore