Il browser hijacking colpisce in media oltre 650 nuovi utenti al giorno: questo è infatti il numero delle vittime delle estensioni del browser infette secondo Ermes – Intelligent Web Protection, il gruppo di ricerca che ha scoperto il comportamento malevolo di almeno 34 estensioni del browser utilizzate nella campagna di attacco SocialDivert.
Già avvertiti della pericolosità del fenomeno gli store di Microsoft Edge e Google Chrome: “I ricercatori di Ermes – Intelligent Web Protection continuano a fare ricerca con l’obiettivo di identificare le minacce emergenti e fare in modo che le soluzioni ideate siano sempre all’avanguardia ed efficaci anche contro i rischi più insidiosi”, spiega il gruppo di ricerca.
Queste informazioni confermano che “la minaccia è estremamente diffusa, nota da tempo, continua a mietere vittime a ritmo sostenuto”, commenta Pierluigi Paganini, analista di cyber security e CEO Cybhorus. “Le estensioni malevole interferiscono con l’esperienza dell’utente online e possono per questo essere utilizzate con diverse finalità criminali. Il livello di complessità di queste estensioni è cresciuto nel tempo, soprattutto la relativa capacità di evasione delle soluzioni di sicurezza”.
Indice degli argomenti
Estensioni del browser infette: le dimensioni del fenomeno
Il white paper di Ermes – Intelligent Web Protection, intitolato “Hijacked on the web: The Growing Threat of Malicious browser extension”, fotografa il fenomeno del browser hijacking attraverso i plugin malevoli, i più sottovalutati dei malware, perché aprono le porte ai criminal hacker in maniera silenziosa, attraverso l’anello debole di ignari utenti: individui, imprese e organizzazioni che, usando plugin del browser malevoli, possono diventare obiettivi di campagne di hackeraggio criminale ad alto rischio.
I ricercatori hanno quindi individuato e reso inoffensiva la campagna SocialDivert che, complessivamente, aveva nel mirino oltre 220mila utenti che avevano installato, senza accorgersene, le estensioni del browser disponibili sugli store dei browser Edge e Chrome: Microsoft Edge Add-Ons Store e Google Chrome Web Store.
I rischi dei plugin pericolosi del browser
L’hacking tramite l’installazione di estensioni del browser infette comporta gravi rischi: truffe, furti di dati sensibili, minacce, cyber attacchi specifici e perfino ricatti.
Alle vittime dei plugin pericolosi è sufficiente scaricare e installare le estensioni dei browser infette per spalancare le porte ai cyber criminali, attraverso le application programming interfaces (API) dei plugin, offrendo loro una piena visibilità della navigazione web dell’utente.
Gli hacker criminali possono così accedere a informazioni sensibili come messaggi di posta elettronica, credenziali e servizi web interni aziendali, ma un plugin malevolo può anche provocare interferenze con la navigazione dell’utente, inducendolo ad atterrare su pagine fraudolente e pericolose. Nella maggior parte dei casi il rischio è il browser hijacking, con cui le estensioni dei browser infette dirottano di nascosto l’ignara vittima su altri siti web dediti al download di malware.
Il plugin può infatti non solo reindirizzare le vittime, ma anche contattare servizi remoti e intercettare comunicazioni private. Le estensioni dei browser infette compiono azioni criminali senza che l’utente sia consapevole di ciò che sta avvenendo nella navigazione web. Senza accorgersene, la vittima può consentire ai cyber criminali di aprire backdoor oppure scaricare phishing e malware, in seguito al dirottamento.
La campagna SocialDivert nel dettaglio
Di solito gli utenti scaricano i plugin per accedere ed effettuare il download di video e stories da Instagram, Facebook, YouTube, Vimeo e LinkedIn oppure tracce musicali da SoundCloud. La campagna di hacking criminale SocialDivert, nel dettaglio, ha sfruttato come veicolo di attacco 18 plugin disponibili nell’Edge Add-Ons Store e 16 nel Chrome Web Store.
Lo store di Firefox, Mozilla Firefox AddOns Store, non è stato preso di mira perché non consente l’offuscamento del codice.
La campagna malevola aveva come traguardo quello di conquistare credenziali, informazioni sensibili e account, manomettere i social media e aprire backdoor per monitorare e acquisire il controllo di dispositivi degli utenti.
SocialDivert, in particolare, reindirizzava il traffico a siti Web dove avveniva la distribuzione di phishing e malware.
La dinamica dell’attacco
Il meccanismo della campagna era collaudato:
- offuscamento del codice JavaScript per evitare di essere riconosciuti;
- l’attacco entra in azioni alcuni giorni dopo il download, per non recare sospetti;
- per evitare l’individuazione della tecnica usata, il meccanismo si nasconde ai ricercatori, infatti evita il download su computer equipaggiati con sistema operativo Linux;
- alcune estensioni scoperte risiedevano su Amazon Web Services (AWS);
- le estensioni recavano recensioni positive per indurre al download;
- installazione delle estensioni del browser infette da parte delle vittime;
- dirottamento su altri siti web malevoli grazie a connessioni web contenenti alcuni criteri predefiniti nella stringa/URL.
Gli hacker criminali avevano predisposto un percorso predefinito:
- un set di 164 stringhe predeterminate;
- presenza di porzioni di testo che di solito appaiono negli indirizzi web, per esempio relativi a social media, servizi bancari, motori di ricerca e servizi di posta elettronica, in modo da confondere le vittime;
- l’URL contenente una di queste stringhe, reindirizza automaticamente l’utente, ingannato dalle porzioni di testo affini a siti noti, verso un sito web fraudolento, congegnato con il fine di carpire credenziali, informazioni sensibili e account, danneggiare i social media e condurre all’apertura di pericolose backdoor per compiere truffe e furti di dati sensibili.
Come proteggersi dalle estensioni del browser infette
“Questo tipo di attacchi è insidioso e solo una adeguata postura in materia di cyber security può mitigarne l’esposizione. È indispensabile un approccio ibrido basato su soluzioni tecnologiche di difesa efficaci e sulla consapevolezza della minaccia da parte degli utenti e dalla loro applicazione di best practice, soprattutto quando si installano estensioni nel proprio browser”, spiega Pierluigi Paganini.
L’anello debole della selezione delle estensioni del browser infette è, infatti, il fattore umano. Per questo motivo l’approccio reputazionale statico delle soluzioni di cyber security non serve a proteggersi da questa minaccia. Al contrario, individui, aziende e organizzazioni dovrebbero adottare soluzioni capaci di valutare i comportamenti in modo dinamico, così da disinnescare il pericolo silenzioso dei plugin dei browser.
Il modello comportamentale è un modello reputazionale che funziona come i portali scanner situati in aeroporto: non basta presentare il passaporto per certificare la propria identità e prendere un volo, ma occorre passare attraverso gli scanner. Analogamente, nella navigazione Web bisogna essere cauti e prendere precauzioni.
Ermes ha sviluppato un sistema di early detection in grado di identificare e fornire una completa protezione contro i plugin dei browser malevoli. “Il nostro innovativo sistema di prevenzione e rilevamento in tempo reale, basato su algoritmi di intelligenza artificiale brevettati, infatti, è in grado di identificare e fornire una protezione completa contro le estensioni del browser dannose, ancora erroneamente sottovalutate”, conclude in un comunicato Hassan Metwalley, CEO e Co-founder di Ermes – Intelligent Web Protection.
La soluzione di Ermes analizza e controlla minuziosamente il codice sorgente delle estensioni, una ad una, anche se non è considerata una minaccia:
- dipendenze;
- vulnerabilità;
- permessi richiesti;
- altre informazioni relative a sicurezza e privacy.
Gli utenti finali dovrebbero inoltre evitare l’uso di estensioni privilegiando le applicazioni web, che comunque non sono esenti da rischio nel caso in cui venissero attaccate con esito positivo. Conviene sempre controllare le estensione dalla pagina di servizio dei browser da cui è possibile monitorare l’elenco di quelle installate:
- Google Chrome: chrome://extensions/
- Microsoft Edge: edge://extensions/
