Grazie al lavoro dei ricercatori di Reason Labs è stato possibile individuare tre estensioni Chrome dannose.
Queste, abilmente mascherate da VPN e a prima vista del tutto legittime, erano installate su 1,5 milioni di browser in tutto il mondo. Questi componenti aggiuntivi, stando agli esperti, si sono diffusi attraverso alcuni torrent relativi a giochi contraffatti (tra cui spiccano GTA 5, The Sims 4 e tanti altri). Un’approfondita analisi ha rivelato come le estensioni sono installate su Chrome attraverso oltre 1.000 diversi file torrent che contengono lo stesso trojan.
L’installazione dell’agente malevolo avviene quando la vittima cerca di installare il software contraffatto quando, senza chiedere il consenso dell’utente, le estensioni vengono installate attraverso una chiave di registro di Windows (ovvero SOFTWARE\Google\Chrome\PreferenceMACs\Default\extensions.settings\).
Sebbene questo metodo non sia di certo nuovo, con alcuni casi simili individuati nel 2014, a quanto pare ha un alto tasso di efficacia, visto il numero enorme di vittime registrate.
VPN false e software contraffatto: l’inquietante scoperta di Reason Labs
Le estensioni incriminate sono netSave per Chrome (che da sola conta 1 milione di installazioni) e netPlus per Edge. Queste agiscono sia come false VPN che come sistemi di cashback.
Una volta installate, le componenti aggiuntive disabilitano altre estensioni di cashback che potrebbero essere installate nel browser, fornendo poi una interfaccia fittizia all’utente, fingendosi a una fantomatica VPN per nascondere le proprie attività illecite.
I dati raccolti da Reason Labs rivelano come i plugin si presentino in lingua russa. Ciò lascerebbe intuire come il target di vittime individuate dagli hacker dovrebbe corrispondere alle nazioni una volta facenti parte dell’Unione Sovietica.
La segnalazione dei ricercatori è stata subito presa in considerazione da Google che ha prontamente rimosso le estensioni incriminate dal Chrome Web Store.
Nonostante ciò Research Labs ha voluto lanciare l’allarme, avvertendo gli utenti del forte rischio che stanno correndo. In tal senso gli esperti raccomandano di installare solo estensioni affidabili e provenienti dallo store di Google, oltre ad evitare sistematicamente qualunque tipo di software contraffatto. L’utilizzo di un antivirus di alto livello, aggiornato periodicamente può offrire un ulteriore livello di protezione.