Scoperte 17 estensioni malevole per Firefox che nascondevano codice dannoso direttamente nei file icona PNG. La campagna, battezzata GhostPoster, ha totalizzato oltre 50.000 download prima che Mozilla rimuovesse tutto dallo store.

Le estensioni si spacciavano per strumenti utili: VPN gratuite, tool per screenshot, traduttori di Google, ad blocker e temi dark mode. L’estensione più vecchia risale al 25 ottobre 2024.

Come funziona l’attacco

Il trucco è sofisticato: quando carichi l’estensione, il file icona PNG viene scaricato normalmente. Ma dentro quel PNG c’è del codice JavaScript nascosto dopo un marcatore speciale (===). Il malware lo estrae e lo esegue, contattando server esterni per scaricare il payload completo.

Per non farsi beccare, il sistema è progettato per attivarsi solo nel 10% dei casi e aspetta 48 ore tra un tentativo e l’altro. Inoltre non si attiva fino a 6 giorni dopo l’installazione. Non semplicissimo da individuare, insomma.

Cosa fa sul tuo browser

Una volta attivo, GhostPoster mette in atto diverse strategie per monetizzare:

Link affiliati rubati: intercetta i link verso siti di e-commerce cinesi come Taobao e JD.com, sostituendo i codici affiliato originali con quelli degli attaccanti

Tracking invisibile: inietta il codice di Google Analytics in ogni pagina che visiti, profilando silenziosamente le tue abitudini di navigazione

Header di sicurezza rimossi: elimina protezioni come Content-Security-Policy e X-Frame-Options dalle risposte HTTP, esponendoti a clickjacking e attacchi XSS

Iframe nascosti: inserisce iframe invisibili che caricano URL controllati dagli attaccanti, permettendo frodi pubblicitarie e click fraud

Bypass CAPTCHA: aggira i controlli anti-bot per far sembrare le operazioni del malware come traffico umano legittimo

Le estensioni da evitare

Ecco la lista completa delle estensioni infette (ora rimosse):

• Free VPN
• Screenshot
• Weather (weather-best-forecast)
• Mouse Gesture (crxMouse)
• Cache – Fast site loader
• Free MP3 Downloader
• Google Translate (google-translate-right-clicks)
• Traductor de Google
• Global VPN – Free Forever
• Dark Reader Dark Mode
• Translator – Google Bing Baidu DeepL
• Weather (i-like-weather)
• Google Translate (google-translate-pro-extension)
• 谷歌翻译
• libretv-watch-free-videos
• Ad Stop – Best Ad Blocker
• Google Translate (right-click-google-translate)

Non tutte usano la stessa tecnica steganografica, ma tutte comunicano con la stessa infrastruttura di comando e controllo, segno che dietro c’è un singolo gruppo o attore.

Il problema delle VPN “gratuite”

Non è la prima volta. Di recente un’estensione VPN per Chrome ed Edge è stata beccata a rubare conversazioni da ChatGPT, Claude e Gemini per rivenderle a data broker. Le VPN gratuite spesso non offrono privacy, ma sorveglianza. Se siete interessati a delle VPN serie e che non rivendono i dati consiglio di utilizzare Proton VPN oppure anche Adguard VPN.

Se hai installato una di queste estensioni, rimuovila immediatamente e controlla le impostazioni del browser per verificare che non siano rimaste tracce.

FONTE koi.ai

YOOTA

2025-12-02 09:00:00

Estensioni browser trasformate in spyware: 4 milioni di utenti spiati per anni

Oltre 4 milioni di utenti Chrome e Edge sono stati spiati da estensioni che Google e Microsoft avevano certificato come sicure. Una situazione imbarazzante per entrambe le aziende, emersa da un’indagine dei ricercatori di Koi Security.

Il gruppo responsabile, ribattezzato “ShadyPanda” dai ricercatori, ha operato indisturbato dal 2018 fino ad oggi con una strategia tanto semplice quanto efficace: creare estensioni legittime, farle crescere nel tempo, ottenere badge di verifica e milioni di installazioni, e poi trasformarle in strumenti di sorveglianza con un semplice aggiornamento.

Il trucco della fiducia

La parte più inquietante riguarda Clean Master, un’estensione per la pulizia del browser con oltre 200.000 installazioni. Ha funzionato normalmente per cinque anni, guadagnandosi addirittura lo status di “Featured” e “Verified” da parte di Google. Poi, a metà 2024, un aggiornamento silenzioso l’ha trasformata in una backdoor.

Da quel momento, ogni ora l’estensione scaricava ed eseguiva codice da server esterni. In pratica, chi l’ha creata poteva farle fare quello che voleva.

4 milioni di utenti ancora a rischio

Ma Clean Master è solo la punta dell’iceberg. Come riporta Koi Security, lo stesso sviluppatore ha pubblicato altre cinque estensioni su Microsoft Edge, tra cui WeTab con 3 milioni di installazioni. Queste raccolgono in tempo reale ogni URL visitato, ogni ricerca effettuata, persino i movimenti del mouse, inviando tutto a server cinesi.

Il problema più grosso? Al momento della scrittura sono ancora disponibili sullo store di Edge. Chi le ha installate continua a essere monitorato, e gli sviluppatori potrebbero trasformarle in qualcosa di peggio in qualsiasi momento.

Il vero problema è il sistema

ShadyPanda ha dimostrato una falla strutturale nel modo in cui funzionano gli store di estensioni: i controlli avvengono solo al momento della pubblicazione. Dopo l’approvazione iniziale, nessuno verifica cosa fanno davvero gli aggiornamenti successivi.

Il meccanismo di auto-aggiornamento, pensato per tenere tutto al sicuro, si è trasformato nel vettore d’attacco perfetto. Niente phishing, niente trucchi elaborati: basta aspettare, costruirsi una reputazione e colpire quando ci sono abbastanza vittime.

FONTE koi.ai

4.3 Million Browsers Infected: Inside ShadyPanda's 7-Year Malware Campaign | Koi Blog

^www.koi.ai