Utenti Home       Utenti Aziendali       Chi Siamo       Contratto EULA.

Dettaglio news

Le estensioni di Chrome sfruttate in una massiccia campagna PUA
- GIOVEDÌ 11 GENNAIO 2018


Le estensioni dei browser, conosciute anche come add-on o plug-in, sono programmi che estendono la funzionalità del browser per rendere migliore l'esperienza di navigazione sul web. Le estensioni del browser sono comunemente usate per:
  • migliorare l'aspetto per essere ancora più fruibile;
  • aggiungere funzionalità al browser;
  • incorporare altri servizi e funzionalità.
Per ampliare le estensioni del browser, i vendor di software browser e gli sviluppatori di terze parti usano differenti tecnologie come i BHO (Browser Helper Object), le API (Application Programming Interfaces) ecc...Tecnologie web come JavaScript, HTML, Visual Script sono invece ampiamente usate per sviluppare le estensioni che possono essere iniettate direttamente nelle pagine web durante il caricamento.

Inutile dire che queste estensioni, poiché molto usate, sono diventate tra i vettori di attacchi malware tra i più utilizzati, causando reindirizzamento su pagine dannose, infezioni spyware, malvertising, mining di cripto valute, pop-up insistenti, riduzione delle performance di sistema ecc...

Sotto elenchiamo alcuni scenari di infezione solitamente conseguenti da attacchi attraverso estensioni browser:
  • Hijacking (dirottamento) del browser, attraverso la contaminazione di estensioni esistenti nel browser e ampiamente utilizzate;
  • installazione di estensioni dannose collegate con altre applicazioni;
  • installazione accidentale da parte dell'utente mentre visita siti web dannosi.
Una analisi completa della campagna massiva di PUA (Potentially Unwanted Application)
A causa della loro popolarità, le estensioni di Chrome sono sempre più sotto attacco. Abbiamo analizzato una campagna di PUA nella quale il codice pulito di estensioni legittime di Chrome era stato copiato insieme al contenuto dannoso. Dopo una analisi approfondita su alcune estensioni sospette di Chrome, il Quick Heal Malware Reporting System ha individuato circa 1.2 milioni di estensioni per l'hijack di Chrome. Tutte queste estensioni sono state ripulite negli ultimi due mesi dalla protezione in tempo reale di Quick Heal.

Ulteriori approfondimenti
In generale, le estensioni di Chrome contengono i componenti file e un core dell'estensione scritta in HTML o JavaScript che concorrono ad uno scopo comune. Queste componenti file specificano le informazioni essenziali dell'estensione come mostrare il nome, la versione, le informazioni per gli update, le funzionalità attuali. 

Tutte queste componenti sono presenti in una singola cartella dell'estensione, che include manifest.json e uno o più script o file HTML per il background, i contenuti, i pop-up. Questi file comunicano tra loro utilizzando una funzione di chiamata diretta. Solitamente le estensioni di Chrome cercano aggiornamenti dai dettagli di update specificati nel file di estensione dopo un certo intervallo di tempo. Gli attaccanti semplicemente sfruttano questo fenomeno a fini negativi. 

Nel caso specifico della campagna osservata dai Quick Heal Security Lab, molte delle estensioni Chrome che eseguivano attività dannose apparivano essere quasi del tutto identiche ad estensioni Chrome ampiamente conosciute e famose. Perfino la gerarchia delle estensioni, le componenti file e le funzioni fondamentali apparivano simili a quelle legittime. Dato che esistono moltissime estensioni Chrome per varie funzionalità sviluppate sia dal vendor del browser sia da sviluppatori di terze parti, è compito assai difficile specificare se le estensioni sono pulite o dannose. Non è però impossibile individuare gli attaccanti che vi stanno dietro. 

Uno sguardo più dettagliato
La figura 1 compara lo script di una estensione pulito con uno modificato. Come si vede sotto, l'estensione corrotta contiene esattamente lo stesso script code dell'estensione legittima di Chrome. Tuttavia, un blocco di codice con le funzioni attuali è stato modificato con del codice dannoso al fine di poter eseguire le attività dannose. 


In alcuni dei casi osservati è stato rilevato che le estensioni che erano già installate erano state dirottate dal sistema dell'utente tramite la modifica del codice dei file di contenuto. In altri casi il codice dannoso era stato iniettato direttamente nel sito di installazione dell'estensione. 

Queste estensioni sono state modificate con codici volti a visualizzare siti web dannosi e hanno causato le seguenti attività dannose:
  • mostrare annunci dannosi e pop-up;
  • reindirizzare verso pagine di phishing;
  • "minare" (estrarre) criptovaluta;
  • importare home page dannose;
  • iniettare backdoor.
Come ti protegge Quick Heal?
I Quick Heal Security Labs hanno rilasciato una soluzione per ripulire le estensioni dannose per il browser Chrome. Questa individuazione avviene cercando contenuti dannosi da file di estensioni contaminate e le ripulisce la directory della cartella dell'estensione. 


La protezione in tempo reale di Quick Heal individua e ripulisce le estensioni dannose con le seguenti firme di rilevamento:
  1.     Trojan.4215
  2.     Trojan.4062
  3.     Trojan.4214
  4.     CoinHive.4557
Misure di sicurezza consigliate:
  • aggiungi estensioni al browser solo da fonti legittime;
  • evita siti web che mostrano annunci e alert eccessivi o non necessari;
  • installa software solo da fonti affidabili e legittime;
  • non fare mai clic su link o allegati ricevuti da fonti sconosciute, indesiderate, inaspettate;
  • verifica sempre l'autenticità e di genuinità delle estensioni che vorrai installare;
  • presta attenzione alle recensioni degli utenti e i rating prima di aggiungere una qualsiasi estensione;
  • non scaricare e installare versioni patchate o crackkate dei software;
  • mantieni sempre aggiornati i software (Adobe, Java, il software antivirus ecc...) e il sistema operativo;
  • abituati a leggere gli accordi di licenza per l'utente finale e i componenti aggiuntivi che vengono installati da altri software;
  • installa una solida soluzione antivirus con protezione multi livello e in tempo reale.


Leggi tutte le news     |     Leggi tutti gli update
Ultime news

LUNEDÌ 15 GENNAIO 2018
File Infector: una minaccia costante
Il 2017 è stato l'anno dei ransomware e dei miner di criptovaluta, ma i file infector continuano ad essere una minaccia significativa per gli utenti.Nel 2017, abbiamo oss...

leggi tutte le news

Premi e Certificazioni

La qualità dei prodotti Quick Heal vanta innumerevoli premi e certificazioni a testimonianza della sempre crescente importanza del marchi a livello mondiale nel settore Antivirus e sicurezza informatica

Continua a leggere »

Chi siamo
Panoramica
La nostra storia
Premi & Certificazioni
Scheda riepilogativa
Clienti
Dicono di noi
Trova un rivenditore
Manuali e documentazione
Chiedi aiuto
Contatti
Update
Rivenditori
Diventa rivenditore
Strumenti di supporto
Link rapidi
Rinnova ora
File di installazione
Versioni di prova
Supporto
Contratto EULA.
Download Upgrade


S-MART è un marchio di proprietà netWork Sas
P.IVA: 05345670482

© 2018 nwk - Privacy Policy - Login