Più di 100 estensioni di Chrome sono state legate a una campagna tentacolare che ha raccolto dati sull’identità, ha aperto comportamenti del browser in stile backdoor e in un caso ha estratto dati in tempo reale sulla sessione Web di Telegram. I ricercatori hanno collegato 108 componenti aggiuntivi alla stessa rete di controllo, con circa 20.000 installazioni registrate sul Chrome Web Store al momento della pubblicazione dei risultati.
Ciò che rende questo colpo più duro è la portata. Le estensioni si presentavano come strumenti di Telegram, giochi di slot e Keno, utilità di traduzione, aiutanti di YouTube e TikTok e strumenti di pagina di base, che hanno aiutato l’operazione a fondersi con il tipo di cose che le persone installano senza pensarci troppo. Vedi il elenco completo qui.
I ricercatori hanno affermato che le estensioni erano ancora attive quando è stata pubblicata la segnalazione e che le richieste di rimozione erano già state presentate. Ciò conferisce a questa storia un vantaggio molto pratico per gli utenti di Chrome che non controllano i propri componenti aggiuntivi da un po’.
I comportamenti peggiori non erano tutti uguali
Il danno non si è limitato a un solo trucco. La ricerca ha rilevato che 54 estensioni raccoglievano i dettagli dell’identità dell’account Google dopo che un utente faceva clic su un pulsante di accesso, mentre un’estensione focalizzata su Telegram estraeva i dati della sessione Web attiva di Telegram ogni 15 secondi. Altri 45 includevano una routine in grado di aprire URL arbitrari ogni volta che Chrome veniva avviato, anche se l’utente non aveva mai aperto l’estensione quel giorno.
Altri componenti aggiuntivi hanno rimosso le protezioni di sicurezza da siti come Telegram, YouTube e TikTok prima di inserire sovrapposizioni, annunci o script nelle pagine. Uno strumento di traduzione ha inoltre instradato il testo inviato attraverso il server dell’operatore, trasformando un semplice aiutante in un rischio per la sorveglianza.
Perché questo dovrebbe preoccupare gli utenti abituali di Chrome
Il problema più grande è l’aspetto ordinario dell’esca. Questi non erano solo strumenti oscuri per utenti esperti. L’elenco includeva giochi, browser helper, client della barra laterale e componenti aggiuntivi di traduzione, esattamente il tipo di extra che le persone afferrano perché la pagina dello store sembra raffinata e la funzionalità sembra utile.
Inoltre, le estensioni tendono a passare in secondo piano una volta installate. In questo caso, i ricercatori hanno rintracciato l’attività di quel miscuglio di strumenti fino alla stessa infrastruttura di backend, che ha trasformato una pila di componenti aggiuntivi dall’aspetto casuale in un’unica operazione con diversi modi per raccogliere dati o alterare l’esperienza di navigazione.
Controlla subito le tue estensioni
La mossa successiva più intelligente è controllare cosa è installato in Chrome, in particolare tutto ciò che è legato a Telegram, giochi leggeri, traduzione o utilità della barra laterale che richiedono l’accesso senza un motivo chiaro. La ricerca elenca 108 estensioni per nome e ID e consiglia di rimuovere immediatamente qualsiasi corrispondenza.
Il caso a più alto rischio sembra essere l’estensione Telegram che ha ripetutamente esfiltrato i dati della sessione web. Chiunque lo abbia utilizzato mentre accedeva a Telegram Web dovrebbe terminare le altre sessioni di Telegram dall’app mobile e gli utenti che hanno effettuato l’accesso a una delle estensioni collegate a Google dovrebbero rivedere l’accesso all’account e revocare qualsiasi cosa non familiare.
