Il Chrome Web Store, il repository ufficiale di Google dove milioni di utenti scaricano quotidianamente estensioni per personalizzare il proprio browser, nasconde un’insidia pericolosa. Ricercatori di sicurezza della società Socket hanno scoperto 108 estensioni maligne, tutte riconducibili a un unico attore malevolo, che stanno silenziosamente rubando dati sensibili da migliaia di account in tutto il mondo. Non parliamo di software oscuri scaricati da fonti dubbie, ma di estensioni apparentemente legittime, pubblicate attraverso cinque profili diversi sul marketplace ufficiale di Google. Estensioni che, in superficie, funzionano esattamente come promesso: client per Telegram, giochi come slot machine e Keno, strumenti per migliorare l’esperienza su YouTube e TikTok, traduttori di testo e utility varie per il browser. Eppure, dietro questa facciata di normalità, si cela un’operazione coordinata di furto dati su larga scala.
L’analisi condotta da Socket rivela un sistema sofisticato e stratificato. Un primo cluster di 78 estensioni inietta codice HTML controllato dagli attaccanti direttamente nell’interfaccia utente del browser. Un secondo gruppo, composto da 54 estensioni, si concentra sul furto di informazioni personali: indirizzi email, nomi, foto profilo e ID degli account Google. Ma non si fermano qui: queste estensioni sono progettate per sottrarre anche i token OAuth2 Bearer di Google, le credenziali che permettono l’accesso ai servizi Google senza dover reinserire la password ogni volta. Un terzo gruppo di 45 estensioni opera come vere e proprie backdoor, porte di accesso nascoste nei dispositivi degli utenti. Queste estensioni si connettono periodicamente a un’infrastruttura di comando e controllo gestita dagli attaccanti, attendendo istruzioni ed eseguendo comandi da remoto, inclusa l’apertura di URL arbitrari che potrebbero veicolare ulteriori minacce.
Alcune estensioni rimuovono gli header di sicurezza dai siti web visitati e iniettano pubblicità indesiderata su piattaforme come YouTube e TikTok. Ma l’elemento più preoccupante riguarda un sottogruppo specifico: estensioni che rubano le sessioni di Telegram Web ogni 15 secondi. Queste applicazioni maligne estraggono dati dallo storage locale del browser e sottraggono il token di sessione di Telegram Web, consentendo potenzialmente agli attaccanti di dirottare completamente le conversazioni della vittima, leggere messaggi privati e impersonarla. Nonostante le estensioni siano state pubblicate attraverso cinque profili apparentemente distinti, l’analisi tecnica di Socket ha rivelato che tutte si collegano alla stessa infrastruttura di comando e controllo. Questo suggerisce inequivocabilmente che dietro questa campagna ci sia un unico attore, probabilmente un’operazione di malware-as-a-service di origine russa. Gli indizi linguistici emersi dai commenti nel codice delle estensioni, soprattutto nelle sezioni dedicate all’autenticazione e al furto di sessioni, puntano infatti in questa direzione geografica.
Socket non è riuscita ad attribuire la campagna a un gruppo specifico o a un cluster di minacce già noto, ma la sofisticazione dell’operazione suggerisce un livello professionale. Il modello malware-as-a-service prevede che un gruppo criminale sviluppi e mantenga l’infrastruttura malevola, mettendola poi a disposizione di altri attori che la utilizzano per i propri scopi, dietro compenso o accordi di spartizione dei profitti. Secondo alcune fonti citate nell’analisi, le estensioni compromesse sono state installate almeno 20.000 volte prima della scoperta. Un numero che, per quanto possa sembrare limitato rispetto ai miliardi di utenti Chrome nel mondo, rappresenta comunque migliaia di persone i cui dati personali, credenziali e conversazioni private sono potenzialmente finiti nelle mani sbagliate.
La questione diventa ancora più inquietante considerando la risposta di Google. Nonostante Socket abbia segnalato pubblicamente la minaccia e richiesto la rimozione delle estensioni maligne, al momento della pubblicazione dell’analisi molte di queste estensioni risultavano ancora disponibili nel Chrome Web Store. Questa lentezza nella risposta da parte del colosso di Mountain View solleva interrogativi sulla capacità o sulla volontà di proteggere adeguatamente gli utenti del proprio ecosistema. Per gli utenti che temono di aver installato una di queste estensioni, la soluzione più immediata è controllare manualmente l’elenco delle estensioni installate nel proprio browser Chrome. Si accede digitando chrome://extensions/ nella barra degli indirizzi. Qualsiasi estensione sospetta, poco utilizzata o di cui non si ricorda chiaramente l’installazione dovrebbe essere rimossa immediatamente. Particolare attenzione va posta a client Telegram non ufficiali, giochi d’azzardo, strumenti di traduzione o utility generiche installate di recente.
Dopo la rimozione di estensioni sospette, è fortemente consigliato modificare le password degli account Google e di altri servizi sensibili, oltre a verificare gli accessi autorizzati nelle impostazioni di sicurezza dell’account Google. Se si utilizza Telegram, può essere prudente terminare tutte le sessioni attive da dispositivi e browser nella sezione Privacy e Sicurezza dell’app. Questo episodio evidenzia una fragilità strutturale nei sistemi di distribuzione delle estensioni per browser. Nonostante i controlli automatizzati e le politiche di sicurezza, attori malevoli riescono ancora a infiltrare software dannoso nei marketplace ufficiali, sfruttando la fiducia che gli utenti ripongono nei brand consolidati come Google. La superficie di attacco rappresentata dalle estensioni browser è ampia: questi piccoli software hanno accesso profondo ai dati di navigazione, possono leggere e modificare il contenuto delle pagine web visitate e, in molti casi, accedere a informazioni sensibili.
