Sono state trovate cinque estensioni fasulle per il browser Web Google Chrome mascherate da visualizzatori di Netflix e altre applicazioni per monitorare l’attività di navigazione degli utenti, per profilarli e guadagnarci sopra.
Quali sono, dunque, queste estensioni “malefiche” di Google Chrome?
“Le estensioni offrono varie funzioni come consentire agli utenti di guardare il palinsesto di Netflix, coupon per siti Web e acquisire schermate di un sito Web“, hanno detto i ricercatori McAfee Oliver Devane e Vallabh Chole.
Le estensioni per Google Chrome (ci riferiamo alla versione desktop, ovviamente) scaricati da 1,4 milioni di volte – sono le seguenti:
- Netflix Party (mmnbenehknklpbendgmgngeaignppnbe), scaricata 800.000 volte;
- Netflix Party (flijfnhifgdcbhglkneplegafminjnhn), scaricata ben 300.000 volte;
- FlipShope – Price Tracker Extension (adikhbfjdbjkhelbdnffogkobkekkkej) scaricata la bellezza di 80.000 volte;
- Full Page Screenshot Capture – Screenshotting (pojgkmkfincpdkdgjepkmdekcahmckjp), scaricata ben 200.000 volte;
- AutoBuy Flash Sales(gbnahglfafmhaehbdmjedfhdmimjcbed), scaricata 20.000 volte allo stato attuale;
Le estensioni sono progettate per caricare del codice JavaScript malevolo che serve a tenere sotto controllo i siti Web visitati e iniettare codice dannoso nei portali di e-commerce, consentendo ai malintenzionati di guadagnare denaro attraverso programmi di affiliazione per gli acquisti effettuati dalle vittime.
“Ogni sito Web visitato viene inviato a server di proprietà del creatore dell’estensione“, hanno osservato i ricercatori, “fanno in modo che possano inserire codice nei siti Web di eCommerce visitati. Questa azione modifica i cookie sul sito in modo che gli autori dell’estensione ricevano il pagamento dell’affiliato per tutti gli articoli acquistati“.
Inoltre gli sviluppatori di queste estensioni hanno sviluppato una tecnica che ritarda l’attività dannosa di 15 giorni dal momento dell’installazione dell’estensione per evitare di sollevare segnali di pericolo; ciò, per far sì che le vittime non se ne accorgano nell’immediato.
Segue successivamente la scoperta di 13 estensioni del browser Chrome nel marzo 2022 che sono state catturate mentre reindirizzavano utenti negli Stati Uniti, in Europa e in India a siti di phishing e “catturavano” diverse informazioni sensibili.
In questo momento, tre delle quattro estensioni sono ancora disponibili sul web store, con Netflix Party (mmnbenehknklpbendgmgngeaignppnbe) che è l’unico componente aggiuntivo da eliminare.
Si consiglia agli utenti delle estensioni installate di rimuoverle manualmente dal browser Google Chrome per mitigare ulteriori rischi.
Come difendersi da estensioni dannose di Google Chrome e altri browser e dai loro cookie
Questo caso va analizzato un attimo.
I programmi “fasulli che sembrano veri”, non sono una novità; anzitutto bisognerebbe per prima cosa guardare di fatto se l’estensione è legittima o meno, ad esempio Amazon App Store su Android ha diverse “copie” di applicazioni famose che non hanno il publisher “corretto”.
Qui, tuttavia, non si parla di virus in senso stretto, ma di un problema che è sia più semplice che complesso al tempo stesso.
Una passata di Malwarebytes potrebbe addirittura non servire a nulla, perché anche se le estensioni in questione hanno un file, solitamente non è il tipo di file che questi antivirus “attaccano”.
Quindi sarebbe logico non installarle, e qualora siano già installate, semplicemente eliminarle; questo però potrebbe non bastare!
Qui potrebbe tornare utile usare software come Ccleaner, che è in grado di eliminare (quasi) tutti i cookie, o al limite farlo direttamente dallo stesso Google Chrome.
Se né Ccleaner, né eliminare i cookie manualmente dal browser stesso non dovesse funzionare, resettare il software di Google alle impostazioni originarie; se anche questo non dovesse funzionare reinstallarlo da zero.
Consiglio, tuttavia, in caso tu dovessi disinstallarlo di usare Revo Uninstaller, in quanto permette di eliminare anche le tracce delle installazioni precedenti.
