Google e Microsoft si sono fidati di loro. 2,3 milioni di utenti li hanno installati. Erano malware.
parzialmente tradotto da: https://blog.koi.security/google-and-microsoft-trusted-them-2-3-million-users-installed-them-they-were-malware-fb4ed4f40ff5
TL;DR - La nostra indagine su un singolo contagocce “verificato” ha rivelato una campagna coordinata di 18 estensioni dannose che hanno infettato ben 2,3 milioni di utenti su Chrome ed Edge.
Se pensi che un'estensione di Chrome con il badge verificato di Google, oltre 100.000 installazioni, oltre 800 recensioni e un posizionamento in evidenza nello store sia affidabile? Ripensaci.
Vi presentiamo “Color Picker, Eyedropper — Geco colorpick”, un'estensione che dimostra perfettamente come attori di minacce sofisticati stiano sfruttando i segnali di fiducia su cui facciamo affidamento. Non si tratta di una palese estensione truffa messa insieme in un fine settimana. Questo è un cavallo di Troia accuratamente realizzato che offre esattamente ciò che promette (un selettore di colori funzionale) mentre contemporaneamente dirotta il browser, traccia ogni sito web visitato e mantiene una backdoor persistente di comando e controllo. Non solo, ma è rimasto legittimo per anni prima di diventare malevolo tramite un aggiornamento di versione.
Se ciò non bastasse, ecco la campagna RedDirection . La nostra indagine sull'estensione Color Picker ha rivelato che era solo la punta dell'iceberg. Analizzando l'infrastruttura di comando e controllo e tracciando schemi di codice simili, abbiamo scoperto quella che chiamiamo la campagna RedDirection, una sofisticata rete multipiattaforma di diciotto estensioni dannose che coprono sia i negozi Chrome che Edge, tutte con la stessa funzionalità di dirottamento. Complessivamente, queste diciotto estensioni hanno infettato oltre 2,3 milioni di utenti su entrambi i browser, creando una delle più grandi operazioni di dirottamento del browser che abbiamo documentato.
Queste estensioni si mascherano da popolari strumenti di produttività e intrattenimento in diverse categorie: tastiere emoji, previsioni meteo, controller di velocità video, proxy VPN per Discord e TikTok, temi scuri, amplificatori di volume e sbloccatori di YouTube. Ognuna fornisce funzionalità legittime mentre implementa segretamente le stesse capacità di sorveglianza e dirottamento del browser che abbiamo scoperto nel selettore di colori.
Molte di queste estensioni hanno ottenuto lo stato verificato o il posizionamento in primo piano sia nel Chrome Web Store che nel Microsoft Edge Add-ons store, dimostrando che i fallimenti della sicurezza si estendono a entrambi i principali marketplace dei browser. Ogni estensione opera con il proprio sottodominio di comando e controllo (come admitclick.net, click.videocontrolls.com, c.undiscord.com), dando l'impressione di operatori separati pur facendo parte della stessa infrastruttura di attacco centralizzata che si estende su entrambe le piattaforme.