Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime, Analisi Vulnerabilità e Intelligenza Artificiale
Rappresentazione artistica e drammatica del logo di Google Chrome, che appare incrinato e parzialmente frantumato come se fosse intrappolato all'interno di una formazione di ghiaccio esplosiva. Il logo mantiene i suoi colori iconici rosso, giallo, verde e blu, ma presenta una texture rocciosa e usurata. Intorno ad esso si sprigionano schegge cristalline e frammenti di ghiaccio lucente in un ambiente freddo e innevato, evocando un senso di congelamento tecnologico o rottura improvvisa in un contesto glaciale.

Hai installato uno sfondo animato su Google Chrome? Gli hacker ringraziano!

21 Giugno 2026 09:03
In sintesi

Sono state scoperte 152 estensioni Chrome per sfondi animati pericolose che nascondono il tracciamento pubblicitario e spacciano il traffico per clic da Google. Gli utenti sono stati invitati a rimuovere queste estensioni e a controllare la loro privacy

Gli sfondi animati per il browser possono sembrare innocui, ma sono state scoperte 152 estensioni potenzialmente pericolose nel Chrome Web Store che si mascherano da App per gli sfondi animati, nascondendo il tracciamento pubblicitario e spacciando il proprio traffico per clic provenienti dalla ricerca di Google.

La famiglia di estensioni è stata identificata dagli specialisti di Socket. Secondo i loro dati, i progetti sono stati rilasciati da un’unica codebase, ma distribuiti attraverso 38 diversi account di editori e tre marchi associati. Complessivamente, le estensioni identificate hanno registrato circa 105.000 installazioni.

Nelle schede del Chrome Web Store, gli sviluppatori affermavano di non raccogliere dati degli utenti, sebbene la relativa informativa sulla privacy descrivesse la raccolta di indirizzi IP, informazioni sul provider di servizi Internet (ISP), fonti di provenienza e di clic, nonché la condivisione dei dati con i partner pubblicitari.

Advertising

Il meccanismo principale agiva tramite la pagina di installazione e rimozione. In 54 estensioni che utilizzavano il nuovo template tabplugins, l’installazione apriva una pagina sul sito web dell’operatore con i tag utm_source=google e utm_medium=organic. Analytics poteva interpretare questa visita come un normale clic da una ricerca Google, anche se era l’estensione stessa ad aprire la scheda.

Durante la disinstallazione, l’estensione utilizzava un link nel formato google.com/url con parametri tipici di un reindirizzamento dai risultati di ricerca, in modo che anche il segnale di rimozione apparisse come un clic da un risultato di ricerca.

Questo stratagemma non sostituiva il motore di ricerca dell’utente né inseriva annunci pubblicitari nei siti visitati. Il profitto degli hacker derivava da qualcos’altro: le estensioni indirizzavano gli utenti verso pagine di brand con annunci pubblicitari, e la falsa attribuzione migliorava la visibilità del traffico per i sistemi pubblicitari e i programmi di affiliazione.

In sostanza, l’installazione dell’estensione trasformava il sito in una fonte di visite artificialmente “organiche”.

Tutte le build testate contenevano lo stesso frammento di codice che, all’avvio del processo del servizio, scorreva i database di IndexedDB e tentava di eliminarli. Nella versione attuale, il codice non influiva su siti web, cookie, localStorage o sessioni utente, poiché veniva eseguito solo all’interno dell’estensione stessa e non eliminava effettivamente nulla.

Advertising

Tuttavia, gli esperti hanno definito questo comportamento sospetto, poiché non esiste una ragione valida per cui l’estensione per gli sfondi debba avviare una pulizia nascosta della memoria.

Alcune estensioni funzionavano tramite tabplugins, yowgames e chromewallpaper, e un dominio indirizzava a owhit.com. Undici estensioni erano già state rimosse dal Chrome Web Store al momento della pubblicazione del rapporto di Socket. Altre tre estensioni contenevano un errore di script in background che impediva l’esecuzione della logica di installazione, disinstallazione e cancellazione di IndexedDB, sebbene le estensioni stesse continuassero a installarsi e a modificare la pagina in una nuova scheda.

Si consiglia agli utenti di rimuovere le estensioni per sfondi animati associate a tabplugins, yowgames e chromewallpaper, di controllare la pagina Nuova scheda e il motore di ricerca predefinito in Chrome e di confrontare la politica di elaborazione dei dati dichiarata con l’informativa sulla privacy completa prima di installare estensioni simili.


📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su 🔔 Google News.
Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram.
Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici


Cropped RHC 3d Transp2 1766828557 300x300
La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella. Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.