Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
I ricercatori hanno scoperto una campagna malware su larga scala che utilizzava estensioni di Chrome e che ha colpito oltre 500.000 account VKontakte. Per anni, l’aggressore, mascherato da innocui strumenti di miglioramento del profilo, ha promosso estensioni che, in realtà, trasformavano il browser della vittima in parte di un’infrastruttura controllata.
Uno dei componenti aggiuntivi più popolari è stato VK Styles Themes per vk.com, un’estensione con circa 400.000 installazioni e recensioni positive. Ufficialmente, ha cambiato il design del social network. In realtà, ha iniettato del codice in ogni pagina VK visitata e si è collegato a un sistema di controllo nascosto.
L’indagine è iniziata quando gli specialisti hanno notato l’inserimento sospetto di script pubblicitari di Yandex nelle pagine degli utenti. Ulteriori analisi hanno rivelato che l’estensione utilizzava un ID contatore calcolato dinamicamente per aggirare i controlli statici. Questo è stato il punto di partenza per la scoperta di altre quattro estensioni correlate, per un totale di circa 502.000 installazioni.
Due di queste sono già state rimosse dal Chrome Web Store. L’architettura si è rivelata multifase e piuttosto ingegnosa. L’estensione non conteneva indirizzi server C&C hardcoded. Invece, accedeva a un normale profilo VKontakte, vk.com/m0nda, ed estraeva parametri codificati dai meta tag HTML.
Successivamente, scaricava la fase successiva del codice dannoso da Pages (l’account 2vk, il repository con il nome succinto “-“), includendo anche script pubblicitari. In sostanza, un profilo VK standard fungeva da centro di storia comando e controllo (C2), mentre GitHub fungeva da piattaforma di hosting del payload.
Questa configurazione rende il blocco più difficile: il traffico verso VK e GitHub appare legittimo. La campagna è attiva almeno da giugno 2025 e si è evoluta fino a gennaio 2026. La cronologia degli impegni mostra che l’autore ha costantemente ampliato le sue funzionalità: dalla manipolazione dei cookie CSRF e dall’utilizzo dell’API VK all’iscrizione automatica degli utenti a un gruppo specifico con una probabilità del 75% ogni volta che accedono a VKontakte.
Di conseguenza, gli account infetti si sono automaticamente uniti al gruppo –168874636 (community VK Styles), che ora conta oltre 1,4 milioni di iscritti. Inoltre, l’estensione reimposta le impostazioni utente ogni 350 giorni (ordinamento dei feed, righe dell’oggetto dei messaggi e altri parametri) per mantenere il controllo. Il codice interferiva anche con i meccanismi di sicurezza di VK modificando il cookie remixsec_redir, consentendo l’esecuzione di azioni per conto dell’utente come se fossero state avviate legittimamente.
Un modulo separato monitorava lo stato dell’abbonamento a VK Donut e, di conseguenza, attivava o limitava determinate funzionalità, il che significava che lo schema prevedeva anche un elemento di monetizzazione.
La caratteristica principale della campagna era la sua flessibilità. Poiché la logica veniva caricata dinamicamente tramite i profili VK e GitHub, l’aggressore poteva modificare il comportamento del componente aggiuntivo senza aggiornare il pacchetto stesso nello store. E poiché le estensioni di Chrome si aggiornano automaticamente, la nuova logica dannosa si è rapidamente diffusa su centinaia di migliaia di dispositivi.
L’ufficio stampa di VKontakte ha commentato: “Tutti i dati degli utenti di VKontakte sono protetti in modo sicuro. Le estensioni di terze parti non hanno accesso alle informazioni personali o alla gestione dell’account senza il consenso dell’utente. Si consiglia di non installare tali servizi ed estensioni per lavorare con il social network, poiché potrebbero essere utilizzati da sviluppatori senza scrupoli.”
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
