Google Rimuove Estensioni Chrome Maligne Con Oltre 1,4 Milioni Di Download

Google ha rimosso 5 estensioni del browser malevole dal suo Chrome Web Store che sono state scaricate collettivamente più di 1,4 milioni di volte.

Gli analisti delle minacce di McAfee hanno scoperto che queste estensioni del browser, che si mascheravano da visualizzatori di Netflix e altri, erano progettate per monitorare di nascosto le attività di navigazione degli utenti.

Le estensioni del browser Chrome in questione sono le seguenti:

• Netflix Party (mmnbenehknklpbendgmgngeaignppnbe) – 800.000 download

• Netflix Party 2 (flijfnhifgdcbhglkneplegafminjnhn) – 300.000 download

• FlipShope – Estensione di Monitoraggio Prezzi (adikhbfjdbjkhelbdnffogkobkekkkej) – 80.000 download

• Cattura Screenshot di Pagina Completa – Screenshotting (pojgkmkfincpdkdgjepkmdekcahmckjp) – 200.000 download

• AutoBuy Flash Sales (gbnahglfafmhaehbdmjedfhdmimjcbed) – 20.000 download

Queste estensioni offrivano varie funzioni come consentire agli utenti di guardare insieme i programmi di Netflix, coupon per siti web e catturare screenshot di un sito web. Quest’ultima ha preso in prestito diverse frasi da un’altra estensione popolare chiamata GoFullPage.

Oltre a offrire la funzionalità prevista, le estensioni tracciavano anche l’attività di navigazione dell’utente. Secondo McAfee, ogni sito web visitato da un utente veniva inviato a server di proprietà del creatore dell’estensione in modo che potessero inserire codice nei siti di eCommerce visitati. Questa azione modificava quindi i cookie sul sito in modo che gli autori dell’estensione ricevessero un pagamento affiliato per qualsiasi articolo acquistato.

“Gli utenti delle estensioni non sono a conoscenza di questa funzionalità e del rischio per la privacy di ogni sito visitato che viene inviato ai server degli autori dell’estensione,” hanno scritto i ricercatori di McAfee nel loro post sul blog.

Come Funzionavano Le Estensioni?

Tutte e 5 le estensioni eseguono un comportamento simile. Il manifesto dell’app web (file “manifest.json”) imposta la pagina di sfondo come bg.html, che carica B0.js (script multifunzionale) che invia i dati di navigazione a un dominio controllato dagli attaccanti (“langhort[.]com”).

I dati vengono consegnati tramite richieste POST ogni volta che l’utente visita un nuovo URL. Le informazioni includono l’URL in forma base64, l’ID utente, la posizione del dispositivo (paese, città, codice postale) e un URL di riferimento codificato.

Dopo aver ricevuto l’URL, langhort.com confronta eventuali voci su un elenco di siti web per cui ha un ID affiliato e, se lo fa, il server risponde a B0.js con una delle due possibili funzioni.

La prima funzione è, “Result[‘c’] – passf_url”, che controllerà se la query ha risposto con un URL. Se lo ha fatto, inserirebbe l’URL ricevuto dal server come un Iframe sul sito web visitato.

La seconda funzione, “Result[‘e’] setCookie”, ordina a B0.js di modificare anche un cookie o sostituirlo con quello fornito per eseguire determinate azioni se all’estensione sono state concesse le autorizzazioni associate.

McAfee ha anche pubblicato un video che mostra come avvengono le modifiche all’URL e ai cookie in tempo reale:

Per evitare analisi e prevenire che l’attività malevola venga identificata in ambienti di analisi automatizzati, alcune delle estensioni presentavano un ritardo di 15 giorni dal momento della loro installazione per evitare di sollevare bandiere rosse prima di poter iniziare a inviare l’attività del browser.

Al momento della scrittura, tutte e 5 le estensioni Chrome malevole sono state rimosse dal Google Play Store. Tuttavia, questo non le elimina dai browser web. Pertanto, si consiglia agli utenti di disinstallarle manualmente dai propri dispositivi.