Continuano a emergere pericoli e attacchi alla sicurezza digitale degli utenti che, in queste ore, devono anche guardarsi da diverse estensioni malevole per un noto browser web.

La prima campagna malware che è stata scoperta sfrutta il downloader Satacom, noto anche come LegionLoader, per distribuire un’estensione del browser progettata per rubare le criptovalute. Il downloader Satacom è una famiglia di malware che è emersa nel 2019 ed è nota per usare le query al server DNS per recuperare la successiva fase del malware da un’altra famiglia associata a Satacom. La campagna malware è stata rilevata dai ricercatori di Kaspersky, che hanno avvertito gli utenti di criptovalute di prestare attenzione alle estensioni del browser sospette.

L’estensione del browser infetta i browser basati su Chromium, come Google Chrome e Microsoft Edge, e monitora le attività degli utenti sui siti web di criptovalute. L’estensione del browser si chiama Crypto Wallet e si presenta come un portafoglio digitale per le criptovalute. Tuttavia, l’estensione è in grado di intercettare e modificare i dati inviati e ricevuti dai siti web di criptovalute, come gli indirizzi dei portafogli e le chiavi private. In questo modo, l’estensione può dirottare le transazioni di criptovalute e trasferire i fondi agli hacker.

L’estensione del browser viene distribuita tramite siti web di terze parti. Alcuni di questi siti non distribuiscono Satacom da soli, ma usano plugin pubblicitari legittimi che gli aggressori abusano per iniettare annunci dannosi nelle pagine web. I link o gli annunci dannosi sui siti reindirizzano gli utenti a siti dannosi come falsi servizi di condivisione di file1.

Per proteggersi da questa campagna malware, gli utenti di criptovalute dovrebbero evitare di scaricare estensioni del browser da fonti sconosciute o non affidabili. Inoltre, dovrebbero controllare regolarmente le estensioni installate nel loro browser e rimuovere quelle sospette o non necessarie. Infine, dovrebbero usare una soluzione antivirus affidabile che possa rilevare e bloccare il downloader Satacom e altri malware.

Un’altra emergenza è stata segnalata dal ricercatore di sicurezza Wladimir Palant e da Avast. In pratica in una prima fase sono emerse 32 estensioni dannose per Chrome installate collettivamente 75 milioni di volte e, un aggiornamento dell’indagine, sono emerse altre 18 estensioni scaricate 55 milioni di volte (elencate sulle pagine della security house all’indirizzo blog.avast.com/malicious-extensions-chrome-web-store). Tali estensioni apparentemente facevano quello che promettevano ma, dopo qualche tempo, grazie a un timer, a 24 ore dallo scaricamento mettevano in azione il loro comportamento dannoso.

In sostanza tali estensioni alteravano i risultati di ricerca, compivano reindirizzamenti e dirottamenti dei risultati di ricerca “per visualizzare link sponsorizzati e risultati a pagamento, a volte anche servendo link dannosi“. In più tali estensioni inviavano annunci indesiderati e spam nelle pagine ed erano in grado di rubare informazioni sensibili. In seguito alle segnalazioni tali estensione sono state rimosse da Google dal Chrome Web Store ma potrebbero essere ancora presenti sui device dai quali andranno quindi rimosse manualmente dagli utenti.