Estensioni maligne di Chrome e Edge che manipolano i risultati di ricerca di Google
Buongiorno cari lettori, ecco le estenzioni di google chrome maligne.
Secondo Avast, queste estensioni hanno colpito 3 milioni di utenti in tutto il mondo.
Il browser Chrome di Google è il browser web più utilizzato nel mondo, mentre il browser Edge di Microsoft è il meno utilizzato. Eppure, viene preinstallato su tutti i dispositivi Windows. A partire dal 2020 1,2 miliardi di PC Windows in uso in tutto il mondo, il che significa che entrambi i browser sono obiettivi redditizi per i criminali informatici e l'ultimo rapporto della società di sicurezza informatica e software Avast lo dimostra.
I ricercatori di sicurezza informatica di Avast hanno scoperto una vasta rete di estensioni del browser Chrome ed Edge dannose, che stanno dirottando i clic sui link nei risultati di ricerca per visualizzare URL arbitrari come siti di phishing e annunci dannosi.
Questo, secondo i ricercatori, dimostra che anche le estensioni che installiamo dagli store ufficiali del browser non sono affidabili.
"Di solito ci fidiamo che le estensioni installate dagli store ufficiali dei browser siano sicure. Ma questo non è sempre il caso, come abbiamo scoperto di recente", hanno rivelato i ricercatori di Avast.
28 estensioni canaglia che dirottano i risultati di ricerca di Google
Avast ha soprannominato le estensioni maligne CacheFlow. Ci sono 28 estensioni identificate per essere dannose, tra cui:
VK Unblock
Vimeo Video Downloader,
Video Downloader per Facebook,
Instagram Story Downloader.
Alcuni dei paesi colpiti includono:
Francia
Ucraina
Brasile
Spagna
Russia
Argentina
Stati Uniti
Tuttavia, agendo rapidamente sulla relazione di Avast, Google e Microsoft hanno eliminato tutte le estensioni del browser retrodatate entro il 18 dicembre 2020. In totale, le estensioni hanno colpito 3 milioni di utenti in tutto il mondo.
Estensioni maligne per Chrome e Edge che manipolano i risultati di ricerca di Google
Gli attaccanti hanno impiegato nuove tattiche subdole
Le estensioni canaglia hanno usato trucchi subdoli per nascondere le loro funzioni reali, che è quello di creare un collegamento con un server C&C controllato dall'attaccante abusando dell'intestazione HTTP Leverage Cache-Control come un canale nascosto per recuperare i comandi dall'attaccante. La sequenza CacheFlow inizia quando un utente scarica una delle estensioni.
Dopo l'installazione, il componente aggiuntivo invia richieste di analisi, che assomigliano a Google Analytics. La richiesta viene inviata a un server remoto. Essa rimanda un'intestazione Cache-Control appositamente progettata che contiene comandi nascosti per il recupero di un payload di secondo livello. Questo payload funziona come un downloader per il payload finale JavaScript. I ricercatori di Avast ritengono che questa sia una nuova tecnica.
"CacheFlow è stato notevole in particolare per il modo in cui le estensioni maligne avrebbero cercato di nascondere il loro traffico di comando e controllo in un canale nascosto utilizzando l'intestazione HTTP Cache-Control delle loro richieste di analisi. Crediamo che questa sia una nuova tecnica", hanno spiegato i ricercatori.
I componenti aggiuntivi si concentrano sulla raccolta dei dati di Google
Il malware JavaScript raccoglie specificamente dati da Google, tra cui date di nascita, attività del dispositivo, geolocalizzazione, ecc. I ricercatori Avast Jan Vojtěšek e Jan Rubín hanno rivelato che per recuperare la data di nascita, CacheFlow ha fatto una richiesta XHR a un indirizzo particolare (myaccount.google.com/birthday) e ha analizzato la data dalla risposta.
Il compito finale del payload era quello di iniettare un altro malware JavaScript in ogni scheda del browser. Questo permette all'attaccante di dirottare i clic che portano a siti web legittimi e cambiare i risultati di ricerca di Google, Yahoo o Bing per reindirizzare la vittima a un URL diverso.
La campagna può essere attiva dal 2017
Secondo i ricercatori di Avast, i diversi trucchi impiegati dagli autori del malware per eludere il rilevamento potrebbero averli aiutati a infettare milioni di dispositivi dal momento che la campagna è attiva da ottobre 2017. Attraverso queste tattiche, le estensioni potrebbero eseguire codice dannoso in background in modo furtivo.
Estensioni maligne di Chrome e Edge che manipolano i risultati di ricerca di Google
Vale la pena notare che i componenti aggiuntivi non hanno infettato gli sviluppatori web, in quanto Avast ha valutato che le estensioni hanno controllato se l'utente ha avuto accesso a siti ospitati localmente come .local, .dev, o .localhost. Inoltre, le estensioni non hanno mostrato un comportamento dannoso nei primi tre giorni dopo l'installazione.
Manipolare i cercatori di Google
Questa però non è la prima volta che i risultati di ricerca di Google sono stati manipolati dagli hacker per far cadere malware o rubare dati. Nel 2017, i truffatori sono stati trovati a sfruttare i risultati di ricerca di Google per distribuire il famigerato e brutto trojan bancario Zeus Panda.
In un altro incidente, nel giugno 2020, gli hacker hanno manipolato le ricerche di Google per diffondere il malware Shlayer e Bundlore contro macOS. Ciononostante, l'insegnamento da trarre da tutto ciò è che non bisogna cliccare su ogni link che viene indicizzato nella ricerca di Google o in qualsiasi altro motore di ricerca.
spero che questo articolo ti sia piaciuto, e ci vedremo ad un prossimo.
