Un nuovo allarme sicurezza riguarda milioni di utenti del browser Google Chrome, ma anche Microsoft Edge, che si trovano esposti a rischi senza precedenti a causa di estensioni malevole. Secondo le indagini condotte dai ricercatori di Koi Security, una massiccia campagna di browser hijacking ha coinvolto oltre 2,3 milioni di navigatori, mettendo seriamente in pericolo la loro privacy e la sicurezza dei dati personali e aziendali.

Estensioni infette: che sta succedendo

La minaccia, subdola e sofisticata, proviene da 11 estensioni apparentemente innocue, reperibili sia sul Chrome Web Store sia sul Microsoft Edge Add-ons Store.

Questi strumenti, che spaziano da selettori di colore a VPN, passando per potenziatori audio e tastiere emoji, sono riusciti a guadagnare la fiducia degli utenti grazie a recensioni positive e badge di verifica, ma nascondevano un pericoloso segreto. Dietro l’aspetto rassicurante si celava infatti un codice dannoso, progettato per monitorare ogni attività online e sottrarre informazioni sensibili.

Il cuore dell’attacco risiede nell’implementazione di un service worker in background, una componente tecnica capace di intercettare e registrare ogni URL visitato dall’utente. Questi dati, accompagnati da un identificativo univoco, vengono poi trasmessi a server remoti controllati dagli attaccanti.

Tale meccanismo consente non solo di tracciare la navigazione, ma anche di reindirizzare le vittime verso siti potenzialmente pericolosi, aprendo la strada a ulteriori cyberattacchi e furti di credenziali.

Quali sono le estensioni da cancellare

Tra le estensioni coinvolte spiccano nomi molto popolari, tra cui “Color Picker, Eyedropper — Geco colorpick”, “Emoji keyboard online”, “Free Weather Forecast”, “Dark Theme — Dark Reader for Chrome” e numerose soluzioni VPN pensate per aggirare restrizioni su piattaforme come TikTok, Discord e YouTube.

L’aspetto più inquietante è che molte di queste estensioni godevano di una reputazione impeccabile e di badge di verifica, ingannando anche gli utenti più esperti e prudenti. Ecco l’elenco completo:

Color Picker, Eyedropper — Geco colorpick

Emoji keyboard online — copy&paste your emoji

Free Weather Forecast

Video Speed Controller — Video manager

Unlock Discord — VPN Proxy to Unblock Discord Anywhere

Dark Theme — Dark Reader for Chrome

Volume Max — Ultimate Sound Booster

Unblock TikTok — Seamless Access with One-Click Proxy

Unlock YouTube VPN

Unlock TikTok

Weather

A rendere ancora più insidiosa la minaccia è stato il sistema di auto update Google, che ha permesso agli sviluppatori malintenzionati di introdurre codice dannoso anche in estensioni precedentemente sicure, senza alcuna notifica o richiesta di approvazione da parte degli utenti. Questo ha facilitato la diffusione del malware su larga scala, colpendo indistintamente utenti privati e professionali, e dimostrando quanto possa essere fragile la catena di fiducia che lega gli utenti agli store ufficiali.

Come difendersi

Gli esperti di Koi Security raccomandano di agire con la massima tempestività: è fondamentale rimuovere immediatamente tutte le estensioni sospette, procedere alla cancellazione dei dati di navigazione e avviare una scansione antimalware approfondita. È inoltre consigliato monitorare con attenzione i propri account online per rilevare eventuali attività anomale, come accessi non autorizzati o tentativi di phishing, che potrebbero essere la conseguenza diretta di questa campagna di browser hijacking.

Questo episodio rappresenta un campanello d’allarme per tutti gli utenti, sottolineando l’importanza di mantenere un approccio critico anche nei confronti di strumenti apparentemente affidabili. La privacy e la sicurezza non possono mai essere date per scontate, soprattutto in un contesto digitale in continua evoluzione dove anche le soluzioni più diffuse possono trasformarsi improvvisamente in vettori di attacco.