Un’estensione apparentemente innocua, con oltre 100.000 download e valutazioni elevate su Chrome Web Store e Microsoft Edge Add-ons, si è rivelata essere tutt’altro che sicura. Secondo i ricercatori di Koi Security, la popolare estensione Color Picker sviluppata da Geco nasconde hijacking delle sessioni browser, tracciamento dell’attività online e comunicazione con server remoti controllati da attaccanti.

Il caso, già di per sé allarmante, è però solo la punta dell’iceberg. Gli analisti di Koi Security hanno infatti scoperto che Color Picker fa parte di una più ampia campagna di browser hijacking chiamata “RedDirection”, che coinvolge 18 estensioni distribuite sia sullo store di Chrome che su quello di Edge. In totale, queste estensioni hanno infettato oltre 2,3 milioni di utenti.

Un’estensione apparentemente affidabile

Color Picker, utile per chi lavora nel design web, consente agli utenti di selezionare qualsiasi colore da una pagina web e copiarlo per utilizzi successivi. La funzione, reale e funzionante, è ciò che ha permesso all’estensione di guadagnare oltre 800 recensioni positive e una media di 4,2 stelle su Chrome Web Store, oltre ad essere classificata come “featured”. Anche su Edge, l’estensione ha ricevuto recensioni entusiastiche da oltre 1.000 utenti, rafforzando la percezione di legittimità.

La presenza di un badge di verifica da parte di Google ha ulteriormente aumentato la fiducia degli utenti, contribuendo a rendere l’operazione ancora più subdola. Sotto questo aspetto rassicurante si nasconde però un vero e proprio cavallo di Troia digitale. Non è una di quelle estensioni truffaldine assemblate in un fine settimana”, ha dichiarato Idan Dardikman di Koi Security. “È un attacco attentamente orchestrato, un Trojan ben progettato.”

Il trucco più ingegnoso? Le estensioni non erano infette al momento del rilascio e alcune sono rimaste completamente innocue per mesi, se non anni, prima che gli aggiornamenti delle versioni introducessero codice malevolo in modo silenzioso. A causa delle politiche di aggiornamento automatico di Google e Microsoft, gli utenti non sono mai stati avvisati dei cambiamenti e si sono ritrovati inconsapevolmente vittime di una delle più grandi campagne di hijacking mai documentate.

Cosa fanno davvero queste estensioni?

estensioni chrome

Oltre a svolgere funzioni apparentemente legittime (tastiere emoji, previsioni meteo, controller per la velocità video, proxy VPN, temi scuri, potenziatori del volume), queste estensioni registrano ogni URL visitato, associano le attività a un ID utente univoco e inviano tutte le informazioni a un server remoto controllato dagli attaccanti. In alcuni casi, possono persino reindirizzare la navigazione dell’utente verso siti scelti dagli aggressori.

Tra i siti potenzialmente vulnerabili a questo tipo di attività figurano anche nomi di primo piano come Netflix, Apple e Bank of America, vittime in passato di campagne simili che presentavano numeri di assistenza clienti fasulli inseriti nelle pagine per trarre in inganno gli utenti. La natura dell’attacco e il lungo tempo impiegato per attivare il codice malevolo dimostrano inoltre una strategia paziente e sofisticata, mirata a restare invisibili il più a lungo possibile per raccogliere il massimo di dati sensibili.

L’elenco completo delle estensioni coinvolte, che riportiamo qui sotto, è stato pubblicato da Koi Security e chiunque le abbia installate è invitato a disinstallarle immediatamente, svuotare i dati del browser e monitorare eventuali attività sospette sui propri account online.

Elenco degli ID delle estensioni

Chrome

kgmeffmlnkfnjpgmdndccklfigfhajen — [Emoji keyboard online — copy&past your emoji.] dpdibkjjgbaadnnjhkmmnenkmbnhpobj — [Free Weather Forecast] gaiceihehajjahakcglkhmdbbdclbnlf — [Video Speed Controller — Video manager] mlgbkfnjdmaoldgagamcnommbbnhfnhf — [Unlock Discord — VPN Proxy to Unblock Discord Anywhere] eckokfcjbjbgjifpcbdmengnabecdakp — [Dark Theme — Dark Reader for Chrome] mgbhdehiapbjamfgekfpebmhmnmcmemg — [Volume Max — Ultimate Sound Booster] cbajickflblmpjodnjoldpiicfmecmif — [Unblock TikTok — Seamless Access with One-Click Proxy] pdbfcnhlobhoahcamoefbfodpmklgmjm — [Unlock YouTube VPN] eokjikchkppnkdipbiggnmlkahcdkikp — [Color Picker, Eyedropper — Geco colorpick] ihbiedpeaicgipncdnnkikeehnjiddck — [Weather]

Edge

jjdajogomggcjifnjgkpghcijgkbcjdi — [Unlock TikTok] mmcnmppeeghenglmidpmjkaiamcacmgm — [Volume Booster — Increase your sound] ojdkklpgpacpicaobnhankbalkkgaafp — [Web Sound Equalizer] lodeighbngipjjedfelnboplhgediclp — [Header Value] hkjagicdaogfgdifaklcgajmgefjllmd — [Flash Player — games emulator] gflkbgebojohihfnnplhbdakoipdbpdm — [Youtube Unblocked] kpilmncnoafddjpnbhepaiilgkdcieaf — [SearchGPT — ChatGPT for Search Engine] caibdnkmpnjhjdfnomfhijhmebigcelo — [Unlock Discord]

Al momento di scrivere, né Google né Microsoft hanno rilasciato dichiarazioni ufficiali e l’estensione incriminata risulta ancora disponibile per il download sugli store ufficiali.