Oltre 100 estensioni Chrome dannose attive dal 2024: ecco quali sono

Emersa una vasta campagna di distribuzione di estensioni Chrome dannose, camuffate da strumenti utili come VPN e assistenti AI. Secondo DomainTools, queste estensioni comunicano con server remoti per eseguire attività malevole: furto di dati, iniezione di codice, tracciamento e manipolazione del traffico Web.
Michele Nasi
Pubblicato il 21 mag 2025
Oltre 100 estensioni Chrome dannose attive dal 2024: ecco quali sono

Dall’inizio del 2024, un attore malevolo, per il momento sconosciuto, ha condotto un’operazione su larga scala volta alla distribuzione di estensioni Chrome dannose tramite siti Web esca appositamente creati. L’attività, ancora in corso, ha prodotto oltre 100 estensioni con funzionalità doppie: da un lato strumenti apparentemente legittimi, dall’altro veicoli per il furto di dati, l’iniezione di codice e il controllo remoto del browser.

La tecnica della doppia faccia: estensioni Chrome funzionali e malevole

Le estensioni scoperte dal team di DomainTools sono distribuite attraverso il Chrome Web Store e sono passate del tutto inosservate davvero a lungo. Il fatto è che esse non apparivano immediatamente sospette: replicano tool noti — come VPN, assistenti AI, strumenti di analisi Web e generatori di contenuti — offrendo funzioni effettivamente presenti, seppur spesso in modo parziale. La scelta era volta a fidelizzare l’utente e ritardare la rilevazione della minaccia.

Nel codice delle 100 estensioni Chrome individuate da DomainTools, sono tuttavia presenti componenti malevoli che comunicano con i server controllati dai criminali informatici.

Il file background.js (o varianti dal nome simile) sono il nucleo dell’attività malevola: in questo file JavaScript è presenta la logica di comunicazione con i server remoti, le “ricette” per la raccolta e l’invio di dati personali, le istruzioni per il caricamento dinamico di codice arbitrario.

L’elenco completo con i nomi dei domini utilizzati dalle estensioni malevole, che ricalcano la nomenclatura dell’estensione stessa, è pubblicato su GitHub.

Permessi e capacità avanzate: aspetti che dovrebbero sempre insospettire

Ancora una volta, le estensioni in questione hanno potuto avere gioco facile per via dei permessi particolarmente ampi richiesti al momento dell’installazione. Il file manifest.json contiene i riferimenti ai permessi che queste estensioni richiedono:

  • accesso a tutti i siti Web visitati;
  • lettura e modifica dei cookie (anche per domini di terze parti);
  • capacità di intercettare, bloccare o reindirizzare richieste di rete;
  • esecuzione di script su qualsiasi pagina visitata.

Queste capacità rendono ogni estensione un potenziale strumento di spionaggio, session hijacking, phishing e manipolazione della navigazione utente.

Come funziona l’attacco: una catena ben orchestrata

La campagna si basa su un ecosistema fraudolento composto da più di 100 domini Web fasulli, progettati per imitare marchi riconoscibili come Fortinet, YouTube, Calendly, DeepSeek AI e altri. I siti presentano pulsanti “Aggiungi a Chrome” che rimandano direttamente a estensioni presenti nel Chrome Web Store, conferendo una parvenza di legittimità all’operazione. I siti utilizzati per la distribuzione delle estensioni sono progettati con cura, per sembrare professionali.

Come accennato in precedenza, una volta installate, le estensioni forniscono parzialmente le funzionalità promesse — come la connessione VPN o un assistente AI — ma in realtà stabiliscono una connessione con i server sotto il controllo degli attaccanti. Da lì ricevono comandi remoti, eseguono iniezioni dinamiche di codice JavaScript, reindirizzano il traffico, mostrano pubblicità indesiderate o fungono da proxy malevoli.

Ad esempio, l’estensione “fortivpn” (che evidentemente nulla ha a che vedere con le soluzioni Fortinet) utilizza l’API chrome.cookies.getAll({}) per accedere a tutti i cookie memorizzati nel browser, li comprime con la libreria Pako, li codifica in Base64 e li invia a un server remoto. In questo modo gli aggressori possono mettere in atto furti d’identità autenticandosi istantaneamente sui siti Web utilizzati dalle vittime.

Reazione di Google e strumenti di difesa

Sebbene Google abbia rimosso molte delle estensioni segnalate da DomainTools, alcune rimangono ancora disponibili sul Chrome Web Store. I ricercatori sottolineano che le misure adottate dagli aggressori e il ritardo tra pubblicazione e rimozione delle estensioni malevole, rappresentano un rischio concreto per gli utenti.

Per mitigare i rischi, è sempre bene limitare il numero di estensioni installate in Chrome (come in qualunque altro browser), limitarsi a caricare soltanto le estensioni sviluppate da soggetti noti e verificati; controllare le recensioni più recenti, i permessi richiesti e la cronologia delle versioni; monitorare l’attività del browser aziendale tramite strumenti RMM o policy di sicurezza a livello di endpoint; utilizzare soluzioni di sicurezza avanzate in grado di rilevare anomalie comportamentali.

Ti consigliamo anche

Microsoft Build 2025: Edge e Windows evolvono con l'AI
Windows

Microsoft Build 2025: Edge e Windows evolvono con l'AI
BrowserBee: automazione del browser potenziata dall'AI debutta in Chrome
Business

BrowserBee: automazione del browser potenziata dall'AI debutta in Chrome
Microsoft Edge con Phi-4-mini: l'AI
Browser

Microsoft Edge con Phi-4-mini: l'AI "leggera" arriva sui PC con Windows 11
Come le legature dei font possono ingannare gli utenti facendo sembrare un falso sito il vero Google
Browser

Come le legature dei font possono ingannare gli utenti facendo sembrare un falso sito il vero Google
Link copiato negli appunti