Per molti esperti di sicurezza rappresenta l'anello debole della catena, quello su cui gli hacker inizieranno a puntare con sempre maggiore insistenza sia per rubare dati agli utenti sia per diffondere nuovi malware sempre più potenti. Per alcuni, addirittura, il browser diventerà una sorta di "ufficio leva" grazie al quale i cybercriminali creeranno armate di botnet composte da centinaia di migliaia di computer zombie pronti a colpire in qualunque momento.

E anche se questo momento è ancora lontano (ma non si sa esattamente quanto, visto quello che accade con alcuni malware Bitcoin come CoinHive), è d'obbligo tenere gli occhi (e i vari sistemi di sicurezza informatica del PC) sempre ben allerta. Il pericolo, infatti, potrebbe anche nascondersi dietro elementi apparentemente innocui, come le estensioni per il browser.

L'ultima scoperta in questo senso è stata fatta dagli esperti di sicurezza informatica della software house statunitense ICEBRG, che hanno individuato quattro estensioni Chrome infettate da malware e regolarmente scaricabili dallo store ufficiale del browser di Google. Secondo i dati diffusi dai ricercatori statunitensi, sarebbero stati infettati circa 500 mila utenti in tutto il mondo.

Quali sono le estensioni Chrome infette dai malware

Per allargare il più possibile la platea degli utenti colpiti, il gruppo di hacker scovato da ICEBRG ha inserito il suo malware in quattro estensioni completamente differenti l'una dall'altra. I plugin Chrome infette sono Change HTTP Request Header; Nyoogle, Custom Logo for Google; Lite Bookmarks e Stickies; Chrome's Post-it Notes: si va dalle utility tecniche per modificare degli attributi delle pagine web a quelle per prendere appunti o cambiare logo.

 

Una delle estensioni Chrome infette

Le estensioni sono state rimosse dal Chrome Web Store, ma sono ancora installate sui computer degli utenti. Nel caso in cui ne avete installata una o più, è inutile dire che dovete rimuoverla il prima possibile.

Come funzionano i malware delle estensioni Chrome

Nel report pubblicato sul loro portale, gli esperti di sicurezza informatica di ICEBRG non solo forniscono informazioni su quali siano le quattro estensioni infette (le abbiamo viste poco sopra), ma offrono anche dettagli interessanti sul funzionamento dei malware e le modalità di attacco degli hacker. In tutti e quattro i casi, in particolare, gli hacker hanno utilizzato le estensioni per far "girare" codice JavaScript malevolo. Si tratta di un cosiddetto attacco a iniezione: sfruttando falle o funzionalità border limit, gli hacker "iniettano" del codice malevolo all'interno di un software (il browser Chrome, in questo caso), costringendo a eseguirlo.

 

Lo schema dell'attacco

Una metodologia di attacco che, di fatto, mette nelle mani degli hacker una vera e propria "chiave universale", che consentirebbe loro di fare tutto ciò che vogliono del computer dell'utente. "Fortunatamente", nel caso scoperto dagli esperti di ICEBRG, gli hacker utilizzano un attacco a iniezione per guadagnare qualche soldo con la pubblicità online. Il codice JavaScript utilizzato, infatti, apriva finestre in background e cliccava su annunci pubblicitari senza che l'utente si accorgesse di nulla. Insomma, un attacco potenzialmente letale utilizzato in maniera molto blanda.

16 gennaio 2018

A cura di Cultur-e Costruisci il tuo futuro con la connessione Fastweb