Individui, imprese e organizzazioni nel mirino di SocialDivert, la campagna di hacking che ha colpito oltre 220mila utenti attraverso l’installazione di almeno 34 estensioni del browser disponibili su Google Chrome Web Store e Microsoft Edge Add-Ons Store. A isolarla il team ricerca di Ermes – Intelligent Web Protection, unica realtà italianariconosciuta tra le top 100 mondiali nel panorama cybersecurity che, dopo averla identificata, ha notificato gli store coinvolti: più di 650 nuovi utenti al giorno le potenziali vittime. L’analisi che ha portato all’identificazione della campagna delle estensioni malevole ha originato il white paper “Hijacked on the web: The Growing Threat of Malicious browser extension”[1] che passa in rassegna alcune delle minacce e degli attacchi specifici che possono derivare dall’uso di plug-in del browser infetti, una panoramica sul fenomeno e una soluzione al loro rilevamento precoce.
Attacchi hacker attraverso estensioni del browser infette: fisionomia di un fenomeno in crescita
Uso crescente, difficoltà di individuazione di eventuali attacchi e controlli ancora troppo snelli da parte degli store sulle estensioni del browser, stanno alimentando la crescita di un fenomeno pericolosamente sottovalutato: l’hackeraggio attraverso l’installazione di plug-in. I rischi possibili? Truffe, furti di dati sensibili, minacce e ricatti.
Una volta installate, infatti, le estensioni infette possono fornire ai cyber criminali una visibilità completa della navigazione web dell’utente: ciò include informazioni sensibili come e-mail, credenziali e servizi web interni aziendali. Nella maggior parte dei casi, un plug-in malevolo può interferire con la navigazione dell’utente reindirizzandolo di nascosto ad altri siti web, contattando servizi remoti e intercettando comunicazioni private. Queste azioni criminali vengono ovviamente eseguite senza che l’utente si accorga di nulla.
Nello specifico, il veicolo di attacco architettato per questa campagna è stato l’installazione di almeno 34 estensioni del browser disponibili sugli store Edge e Chrome: 18 nell’Edge Add-Ons Store e 16 nel Chrome Web Store. Nel mirino individui, imprese e organizzazioni. L’obiettivo? L’acquisizione di credenziali, di informazioni sensibili e di account, la manomissione dei social media e l’apertura di backdoor per il controllo dei dispositivi degli utenti. Il meccanismo del suo funzionamento era basato sul reindirizzamento del traffico a siti Web di distribuzione di phishing e malware. L’attacco seguiva un iter invariato:
- Installazione dell’estensione del browser
- Dirottamento su altri siti web pericolosi nel caso di connessioni web contenenti determinati parametri nella stringa/url
A monte, i criminali avevano selezionato un set di 164 stringhe predefinite, porzioni di testo tipicamente contenute negli indirizzi web riferiti, tra gli altri, a social media, servizi bancari, motori di ricerca e servizi di posta elettronica. Quando la URL conteneva una di queste stringhe, l’utente veniva automaticamente reindirizzato verso un sito web malevolo con lo scopo di acquisire credenziali, informazioni sensibili e account, manomettere i social media e indurre ad aprire backdoor con il rischio di incorrere in truffe e furti di dati sensibili.
“I ricercatori di Ermes – Intelligent Web Protection continuano a fare ricerca con l’obiettivo di identificare le minacce emergenti e fare in modo che le soluzioni ideate siano sempre all’avanguardia ed efficaci anche contro i rischi più insidiosi. Il nostro innovativo sistema di prevenzione e rilevamento in tempo reale, basato su algoritmi di intelligenza artificiale brevettati, infatti, è in grado di identificare e fornire una protezione completa contro le estensioni del browser dannose, ancora erroneamente sottovalutate”. – ha dichiarato Hassan Metwalley, CEO e Co-founder di Ermes – Intelligent Web Protection.
[1] https://drive.google.com/drive/folders/1QKYzYP1jHH2md1nu4qPamoHl7rNvYzCZ
