Le estensioni del browser sono diventate uno strumento quotidiano per milioni di utenti che desiderano Migliora la tua esperienza su Chrome, Firefox o Edge.Vengono utilizzati per tradurre pagine web, bloccare annunci pubblicitari, gestire le password o velocizzare la navigazione e, in genere, si installano con un paio di clic dagli app store ufficiali. Proprio per questa comodità , molte persone non controllano quasi mai chi c'è dietro ogni componente aggiuntivo o quali autorizzazioni richiede.
Questa svista apre la porta ai criminali informatici per utilizzare le estensioni come canale silenzioso per spiare e rubare datiUna recente campagna, denominata GhostPoster, ha chiarito quanto sia pericoloso questo vettore: le estensioni fraudolente si integrano come se fossero legittime, funzionano con apparente normalità e possono rimanere attive per anni senza destare sospetti, monitorando al contempo l'attività degli utenti.
Cos'è la campagna GhostPoster e perché è preoccupante?
Indagini condotte da diverse aziende di sicurezza informatica, tra cui KOI e LayerXHanno scoperto un'operazione su larga scala che sfrutta gli store ufficiali delle estensioni di Mozilla Firefox, Google Chrome e Microsoft Edge. Nell'ambito della campagna GhostPoster, sono state identificate decine di componenti aggiuntivi che, nel complesso, Superano le 840.000 installazioni a livello mondiale, un dato che dà un'idea della portata del problema.
Queste estensioni dannose si mascherano da strumenti di uso quotidiano: Traduttori di pagine, ad-blocker, cosiddetti VPN o utilità per la gestione dei download. Una volta installati, vengono eseguiti in background, monitorando le attività della vittima nel browser, accedendo ai dati di navigazione e, in alcuni casi, abilitando porte posteriori che consentono il controllo remoto dell'attrezzatura.
Ciò che è particolarmente preoccupante è che molte di queste estensioni sono disponibili da molto tempo nei cataloghi ufficiali, il che significa che Hanno superato i filtri di revisione del Chrome Web Store, dei componenti aggiuntivi di Firefox e dell'Edge StoreSecondo le analisi pubblicate, alcune sono operative dal 2020, il che ha permesso alla campagna di rimanere attiva in modo continuativo e senza grandi interruzioni.
All'interno di GhostPoster, gli esperti hanno anche identificato una variante più avanzata ed evasiva che, da solo, ha raggiunto più di 3.800 installazioni. Questa branca si distingue per la sua capacità di eludere i controlli e di mimetizzarsi con estensioni apparentemente legittime, rendendo ancora più difficile per gli utenti rendersi conto che qualcosa non va.
Come funzionano le estensioni dannose dietro GhostPoster
Le estensioni del browser, che siano per Chrome, Firefox o Edge, sono profondamente integrate con il software e possono leggere e modificare il contenuto delle pagine webCiò include l'accesso ai cookie, alla cronologia di navigazione e, in alcuni casi, l'interazione con il sistema operativo. Quando un'estensione è ben progettata, tutto questo serve a fornire funzioni utili; quando è dannosa, lo stesso accesso diventa un'arma di precisione per gli aggressori.
Nel caso di GhostPoster, la chiave sta nel fatto che la componente dannosa è accuratamente nascosta. Le indagini indicano che i responsabili della campagna Nascondono parte del codice JavaScript all'interno dell'immagine PNG dell'icona dell'estensione.Questa tecnica, nota come steganografia, consente di camuffare informazioni in file apparentemente innocui, in modo che a prima vista si veda solo un normale logo, ma al suo interno si trova il codice che verrà eseguito in seguito.
Questo codice nascosto viene attivato una volta installata l'estensione ed è responsabile di spiare l'attività degli utenti in tempo realePuò registrare quali pagine vengono visitate, quali moduli vengono compilati o quali servizi vengono utilizzati, oltre a intercettare informazioni sensibili come credenziali o token di sessione. In alcuni casi, scarica anche moduli aggiuntivi che alla fine... aprire una backdoor nell'apparecchiatura interessata, dando agli aggressori la possibilità di connettersi da remoto.
Utilizzando la steganografia, i criminali informatici fanno sì che il componente dannoso passi relativamente inosservato durante le revisioni automatizzate degli archivi di estensioni. I sistemi di analisi in genere esaminano il codice visibile e il comportamento dichiaratoTuttavia, potrebbero non riuscire a rilevare che il vero cuore dell'attacco è nascosto in una semplice immagine. Questo approccio aumenta le difficoltà per le piattaforme che cercano di frenare la distribuzione di plugin fraudolenti.
Inoltre, i componenti aggiuntivi collegati a GhostPoster imitano fedelmente le funzioni degli strumenti legittimi a cui affermano di assomigliare. Offrono, ad esempio, la traduzione delle pagine o il blocco degli annunci di base, il che rafforza la sensazione di normalità . Finché l'utente ritiene di utilizzare un'estensione utile, Sullo sfondo viene generato un flusso costante di informazioni verso i server controllati dall'aggressore..
Il ruolo di KOI e LayerX nella scoperta della campagna
Lo scandalo GhostPoster non è scoppiato dall'oggi al domani. Nel mese di dicembre, gli analisti della società di sicurezza KOI Hanno rilevato un gruppo iniziale di 17 estensioni dannose pubblicate nello store ufficiale di Mozilla Firefox. Tutte prendevano di mira gli utenti alla ricerca di utilità comuni e, complessivamente, avevano superato i 50.000 download.
Poco dopo, la società di sicurezza informatica LayerX ha continuato le indagini e ha individuato un altro pacchetto di 17 componenti aggiuntivi simili Distribuito tramite i cataloghi di Microsoft Edge e Google Chrome. Grazie a queste nuove rilevazioni, il numero totale di installazioni associate a GhostPoster è schizzato a oltre 840.000 nei tre browser, rendendola una campagna con un impatto globale significativo.
I rapporti pubblicati specificano che Tutte queste estensioni condividevano modelli di comportamento e strutture tecniche molto simili, il che ha portato alla conclusione che facessero parte dello stesso schema coordinato. Tra gli obiettivi identificati c'erano il monitoraggio della navigazione in tempo reale, la raccolta di dati di massa e l'introduzione silenziosa di backdoor nelle apparecchiature.
Durante l'analisi, KOI e LayerX hanno sottolineato che l'operazione GhostPoster non è un incidente isolato, ma piuttosto un esempio di una strategia sostenuta per diversi anni per sfruttare l'ecosistema di estensioni. I ricercatori sottolineano che la combinazione di un elevato volume di installazioni e di un rilevamento tardivo ha permesso agli aggressori di mantenere attive le loro campagne con ampio margine di manovra.
Secondo gli esperti, gli stessi fornitori di browser si trovano ad affrontare un compito complesso: rilevare strumenti dannosi che imitano servizi popolariSebbene esistano controlli e processi di revisione automatizzati, l'esperienza dimostra che non sempre sono sufficienti a bloccare le estensioni che adottano tattiche di occultamento avanzate come quelle viste in GhostPoster.
Chi c'è dietro: il gruppo Darkspectre e le loro campagne precedenti
L'indagine punta a un noto attore nel campo della sicurezza informatica: Spettro OscuroQuesto gruppo utilizza da anni estensioni del browser per distribuire malware e gli vengono attribuite operazioni precedenti come ShadyPanda e The Zoom Stealer, che condividono risorse tecniche e infrastrutture con GhostPoster.
Secondo i dati raccolti, Darkspectre ha perfezionato le sue tattiche nel corso del tempo. Già le campagne precedenti avevano mostrato un particolare interesse nell'infiltrarsi attraverso canali apparentemente affidabili., come i negozi ufficiali di accessori. GhostPoster sarebbe, in questo senso, l'evoluzione di una linea di lavoro che cerca di massimizzare la portata senza destare allarmismi immediati.
LayerX spiega che il monitoraggio dell'infrastruttura utilizzata in GhostPoster, ShadyPanda e The Zoom Stealer ha consentito per documentare l'evoluzione tecnica di queste minacceI ricercatori hanno osservato come domini, server e frammenti di codice vengano riutilizzati in diversi attacchi, adattando gli strumenti alle misure di sicurezza implementate dalle piattaforme.
Uno degli elementi che più preoccupa le aziende di sicurezza è che Alcune estensioni collegate a Darkspectre sarebbero rimaste attive dal 2020 senza essere rilevati. Questa persistenza evidenzia sia la sofisticatezza degli aggressori sia i limiti dei sistemi di revisione automatizzati, che non sono sempre in grado di identificare schemi dannosi quando sono nascosti in componenti insoliti, come le icone grafiche.
I rapporti indicano inoltre che, da un punto di vista operativo, GhostPoster si basa su tecniche di evasione altamente raffinateQueste misure includono il caricamento ritardato dei componenti, l'attivazione solo in specifiche condizioni di navigazione e l'uso di comunicazioni discrete con i server di comando e controllo. Tutto ciò contribuisce a ridurre il rumore e a rimanere fuori dai radar il più a lungo possibile.
Estensioni, un vettore di attacco sempre più comune
Oltre a GhostPoster, gli esperti hanno da tempo avvertito che le estensioni sono un bersaglio ricorrente per i criminali informaticiLa loro popolarità e la fiducia che generano, in quanto apparentemente provenienti da store ufficiali, li rendono un canale ideale per introdurre di nascosto software dannosi senza che l'utente sospetti nulla.
In molti casi, le vittime scaricano questi componenti aggiuntivi perché Promettono funzionalità attraenti e gratuiteQueste estensioni possono aiutarti a: rimuovere pubblicità intrusive, migliorare la privacy, velocizzare il browser o automatizzare attività ripetitive. Il problema è che, una volta concesse le autorizzazioni, l'estensione può accedere a una quantità considerevole di informazioni senza dover richiedere nuovamente l'autorizzazione.
Campagne come GhostPoster dimostrano che, anche quando l'estensione mantiene alcune delle sue promesse, potrebbe svolgere attività segreteIn altre parole, il plugin può bloccare gli annunci pubblicitari o tradurre le pagine normalmente, ma contemporaneamente raccogliere dati di navigazione, intercettare le credenziali o comunicare con server esterni per scaricare nuove istruzioni.
L'uso di tecniche come la steganografia delle immagini o l'esecuzione di codice offuscato ostacola notevolmente il compito di analisi. I sistemi di sicurezza tradizionali tendono a cercare modelli notiMa quando il codice dannoso si nasconde nei file grafici o è distribuito in piccole porzioni tra vari componenti, l'identificazione diventa molto più complicata.
Questo scenario costringe sia gli sviluppatori del browser sia gli stessi store delle estensioni a rafforzare i meccanismi di verificaGli esperti sottolineano che sarà necessario combinare analisi automatizzate più approfondite, audit manuali e un maggiore monitoraggio del comportamento effettivo delle estensioni una volta pubblicate, in particolare quelle che raggiungono un numero elevato di installazioni in poco tempo.
Impatto sugli utenti in Europa e raccomandazioni di base
La campagna GhostPoster ha una portata globale, ma Colpisce anche gli utenti in Spagna e nel resto d'EuropaNel Regno Unito, Chrome, Firefox ed Edge rappresentano la quasi totalità dei browser utilizzati in ambito domestico e professionale. Chiunque abbia installato estensioni di traduzione, ad-blocker o VPN negli ultimi anni avrebbe potuto essere esposto se il componente aggiuntivo fosse stato inserito nell'elenco dei browser dannosi.
Le autorità europee e le squadre di intervento stanno utilizzando i report di aziende come KOI e LayerX come riferimento per aggiorna i tuoi avvisi e standard di sicurezza informaticaLa raccomandazione generale è di controllare periodicamente le estensioni installate e disinstallare quelle che non vengono più utilizzate o la cui origine non è chiara. Non è raro accumulare componenti aggiuntivi utilizzati una volta e poi dimenticati, ma che hanno ancora accesso al browser.
Per ridurre i rischi, gli specialisti consigliano dare priorità alle estensioni sviluppate da entità riconosciuteControllate le valutazioni e il numero di utenti e diffidate delle soluzioni che promettono troppe funzionalità in un unico pacchetto. Si consiglia inoltre di verificare le autorizzazioni richieste prima dell'installazione, soprattutto quando un componente aggiuntivo richiede l'accesso completo a tutti i dati di navigazione senza che ciò sembri strettamente necessario.
Nel settore aziendale, dove la navigazione spesso implica l’accesso a informazioni sensibili e servizi interni, le organizzazioni europee stanno incorporando politiche specifiche per controllare quali estensioni possono essere utilizzate sui computer aziendaliLe misure più comuni includono la creazione di whitelist di componenti aggiuntivi consentiti, il monitoraggio centralizzato e l'utilizzo di soluzioni di sicurezza in grado di monitorare l'attività del browser.
Per i singoli utenti che sospettano di aver installato un'estensione potenzialmente dannosa, gli esperti raccomandano Rimuovere il componente aggiuntivo ed eseguire una scansione con un antivirus affidabile. E se i dubbi persistono, consultate un esperto di sicurezza informatica. In campagne complesse come GhostPoster, la semplice disinstallazione del malware potrebbe non essere sufficiente se sul sistema è stato installato altro malware.
Il caso GhostPoster mette in luce la misura in cui Fidarsi ciecamente dei negozi ufficiali di extension può essere rischiosoSebbene rimangano il canale più sicuro contro i download da siti web sconosciuti, l'esperienza dimostra che non sono infallibili e che gli aggressori sanno come adattarsi ai loro controlli. Una combinazione di utilizzo più critico da parte degli utenti, processi di revisione più rigorosi e un monitoraggio continuo da parte delle aziende di sicurezza sarà fondamentale per arginare campagne simili in futuro.
