Nel corso del 2024, è emersa una tendenza inquietante poiché gli hacker sfruttano gli annunci di Facebook per distribuire false estensioni di Chrome mascherate da gestori di password legittimi come Bitwarden. Questa sofisticata campagna di malvertising sfrutta i timori degli utenti nei confronti delle minacce informatiche e li induce a scaricare software dannoso.
Gli hacker sfruttano gli annunci di Facebook per distribuire false estensioni di Chrome
Bitdefender Labs ha seguito da vicino queste campagne, rivelando che l’ultima operazione è stata lanciata il 3 novembre 2024. Prendendo di mira gli utenti di età compresa tra 18 e 65 anni in tutta Europa, gli aggressori creano un senso di urgenza sostenendo che gli utenti devono installare un aggiornamento di sicurezza critico. Impersonando un marchio affidabile, sfruttano efficacemente la piattaforma pubblicitaria di Facebook per guadagnare la fiducia degli utenti.
Il processo ingannevole inizia quando gli utenti incontrano un annuncio su Facebook che li avverte che le loro password sono a rischio. Facendo clic sull’annuncio vengono indirizzati a una pagina Web fraudolenta progettata per imitare il Chrome Web Store ufficiale. Tuttavia, invece di un download sicuro, gli utenti vengono reindirizzati a un collegamento di Google Drive che ospita un file ZIP contenente l’estensione dannosa. Per installarlo, gli utenti devono seguire un processo dettagliato che prevede l’abilitazione della Modalità sviluppatore sul proprio browser e il sideload dell’estensione, un metodo che elude i protocolli di sicurezza standard.
Come funziona la falsa estensione Bitwarden
Una volta installata, l’estensione dannosa richiede autorizzazioni estese che le consentono di intercettare e manipolare l’attività dell’utente online. Come indicato nel file manifest dell’estensione, funziona su tutti i siti Web e può accedere all’archiviazione, ai cookie e alle richieste di rete. Ciò fornisce agli hacker pieno accesso alle informazioni sensibili. Ad esempio, le autorizzazioni includono:
- contestoMenu
- magazzinaggio
- biscotti
- schede
- dichiarativaNetRequest
Lo script in background dell’estensione avvia una serie di attività dannose non appena viene installata. Controlla regolarmente la presenza di cookie di Facebook e recupera dati vitali dell’utente, inclusi identificatori personali e informazioni di pagamento associati agli account pubblicitari di Facebook. La sensibilità dei dati rubati può portare a gravi ripercussioni, tra cui il furto di identità e l’accesso non autorizzato ai conti finanziari.
Hack Microsoft vince 4 milioni di dollari con Zero Day Quest
L’uso di piattaforme legittime come Facebook e Google Drive oscura la vera natura del malware. Gli esperti di sicurezza raccomandano diverse strategie per mitigare i rischi associati a questa minaccia:
- Verifica gli aggiornamenti delle estensioni tramite i browser store ufficiali anziché fare clic sugli annunci.
- Prestare attenzione agli annunci sponsorizzati, soprattutto a quelli che richiedono aggiornamenti immediati per gli strumenti di sicurezza.
- Esaminare criticamente le autorizzazioni dell’estensione prima dell’installazione.
- Utilizza funzionalità di sicurezza, come la disattivazione della modalità sviluppatore quando non è in uso.
- Segnala tempestivamente gli annunci sospetti alle piattaforme di social media.
- Implementa una soluzione di sicurezza affidabile che rilevi e blocchi i tentativi di phishing e le estensioni non autorizzate.
Bitdefender offre uno strumento chiamato Scamio, che aiuta gli utenti a identificare i contenuti dannosi online. Valuta collegamenti, messaggi e altre interazioni digitali per evidenziare potenziali truffe, offrendo agli utenti un ulteriore livello di difesa.
Credito immagine in primo piano: Soumil Kumar/Unsplash
