Sintesi 

I ricercatori di sicurezza di LayerX Security hanno scoperto una campagna che coinvolge estensioni VPN e di blocco degli annunci dannose, progettate per rubare dati sensibili degli utenti. La campagna continua a riproporsi, anche dopo essere stata rimossa in precedenza (più di una volta). Mentre le estensioni che fanno parte di questa campagna reincarnata hanno totalizzato 31,000 installazioni, le precedenti versioni hanno raggiunto complessivamente oltre 9 milioni di installazioni.

Come un giocattolo "rotondo" per bambini che continua a rialzarsi, queste estensioni dannose (e i responsabili delle minacce che le gestiscono) sembrano intenzionate a tornare, indipendentemente da quante volte siano state rimosse in precedenza. Questa campagna è un duro promemoria dei rischi delle estensioni "gratuite", in particolare di quelle con autorizzazioni di accesso a dati sensibili, e della necessità di difese che monitorino e analizzino costantemente le estensioni per rilevare comportamenti dannosi.

 

Dettagli estesi:

Le estensioni VPN gratuite promettono privacy, velocità e accesso globale con un solo clic. Per milioni di utenti, rappresentano un modo semplice per aggirare le restrizioni o nascondere gli indirizzi IP senza pagare un abbonamento. Ma questa promessa nasconde spesso un compromesso: se il prodotto è gratuito, i tuoi dati diventano il prodotto.

Negli ultimi anni, un gruppo di estensioni di Chrome che pubblicizzano “VPN illimitata gratuita” servizi accumulati collettivamente oltre 9 milioni di installazioniI loro nomi, le icone e le descrizioni sembravano perfettamente legittimi e persino professionali. Eppure, dietro quella facciata pulita, due di queste estensioni si sono poi rivelate contenere codice profondamente invasivo. Erano disponibile nel Chrome Web Store da quasi sei anni prima di essere segnalato e rimosso in che si terrà nel maggio 2025.

Solo due mesi dopo terza estensione, quasi identico nella descrizione, nello stile delle icone e nel comportamento interno, è apparso nello store. È ancora disponibile al momento della stesura di questo articolo.

Queste estensioni facevano molto di più che semplici richieste di rete proxy. Recuperavano file di configurazione nascosti da server remoti, modificavano le impostazioni proxy in tempo reale e intercettavano gli eventi di navigazione del browser, funzionando come reindirizzatori proxy controllati da remoto Con canali di aggiornamento nascosti. Quella che sembrava una semplice VPN gratuita era, in pratica, un meccanismo di sorveglianza completo a livello di browser.

In questa analisi, descriveremo come si sono evolute queste estensioni, evidenzieremo le sovrapposizioni tecniche tra di esse e analizzeremo le tecniche specifiche utilizzate per intercettare, reindirizzare e persistere all'interno del browser. I risultati mostrano come autorizzazioni come webRequest, proxy e declarativeNetRequest possano fornire agli autori di attacchi malware visibilità e controllo totali sul traffico di navigazione di un utente.

Se installate, queste estensioni potrebbero:

  • Intercettare e reindirizzare ogni pagina che visiti.
  • Raccogliere dati di navigazione e un elenco delle estensioni installate.
  • Modifica o disattiva altri strumenti proxy o di sicurezza.
  • Instradare il traffico attraverso server controllati dagli aggressori, esponendo l'attività privata a potenziale sorveglianza.


Immagine 1: Una delle VPN gratuite e illimitate dannose in circolazione

Di seguito è riportata una ripartizione dettagliata dei loro metadati, del comportamento del codice e dei rischi 

Tabella 1: Metadati dell'estensione

Settore Estensione A Estensione B Estensione C
ID interno foiopecknacmiihiocgdjgbjokkpkohc bibjcjfmgapbfoljiojpipaooddpkpai fgpecemjbefkjlcgnhjohdonijdkfooj
Nome visualizzato VPN Professional – Estensione Chrome per proxy VPN gratuita, sicura e illimitata VPN-free.pro – VPN illimitata gratuita VPN illimitata gratuita
Descrizione  Sblocca qualsiasi sito web e rimani al sicuro con VPN Professional. Facile da usare con attivazione in un clic. VPN Professional: la migliore VPN! Sblocca qualsiasi sito web e rimani al sicuro con VPN-free.proFacile da usare con attivazione con un clic. VPN-free.pro – la migliore VPN! Sblocca qualsiasi sito web e rimani al sicuro con Free Unlimited VPN. Facile da usare con attivazione in un clic. Free Unlimited VPN: la migliore VPN!
Supporto e-mail [email protected] [email protected] [email protected]
Data di creazione 21 settembre 2019 09 Maggio 2020 Luglio 21 2025
Ultimo aggiornamento Luglio 07 2024 Febbraio 14 2025 Agosto 22 2025
Eliminato dal negozio 21 maggio 2025 (rimosso) 21 maggio 2025 (rimosso) In negozio (non rimosso)
Note Le condivisioni supportano il dominio free-vpn.pro con B; rimosso dallo store. Le condivisioni supportano il dominio free-vpn.pro con A; rimosso dallo store. Indirizzo email diverso (Gmail); stessa formulazione e stesso stile di icone; non ancora rimosso.

 

Mentre una VPN legittima per browser necessita solo del controllo proxy con una configurazione solitamente statica o recuperata da un'API nota e di proprietà del marchio tramite HTTPS, l'analisi delle estensioni descritte ha mostrato configurazioni controllate da remoto, aggiornamenti dinamici del codice e intercettazione completa della navigazione, consentendo agli aggressori di reindirizzare, bloccare o alterare silenziosamente il traffico degli utenti e di modificare il comportamento dell'estensione dopo l'installazione.

Approfondimento tecnico: vecchia versione vs nuova versione 

Vecchia versione (parti sospette notevoli)

Dirottamento del metodo

L'estensione sostituisce String.prototype.trim per rimuovere le barre rovesciate dalle stringhe decodificate, utilizzate per de-offuscare e seguire silenziosamente gli URL remoti.

Recupero della configurazione remota (config.txt multi-URL)

L'estensione recupera periodicamente una configurazione multi-URL per aggiornare il comportamento e i payload.

Installazione PAC remota

L'estensione imposta il proxy di Chrome tramite pac_script scaricato dalla configurazione remota. Installando uno script PAC remoto e controllando gli endpoint proxy, un aggressore può instradare il traffico utente attraverso i server da lui controllati, consentendo il monitoraggio passivo (registrazione), l'iniezione attiva (modifica HTML/JS), il furto di credenziali o la sostituzione mirata di contenuti.

Intercettazione della navigazione

L'estensione registra un listener chrome.webRequest.onBeforeRequest per " " indirizzando le richieste del mainframe, consentendo all'estensione di intercettare ogni caricamento di pagina e reindirizzare le schede alle destinazioni definite nella sua configurazione remota.

Aggiornamenti dinamici DNR

L'estensione utilizza declarativeNetRequest.updateDynamicRules per modificare al volo il filtraggio/routing.

Manomissione della storia

L'estensione utilizza history.replaceState(“”, “”, 'https://${location.host}') per rimuovere le tracce degli URL di reindirizzamento originali.

Disinstallazione guidata dal server

L'estensione attiva l'autodisinstallazione in base al controllo di un server remoto ("Cloudflare"), utilizzato per eludere l'analisi o la rimozione mirata. 

Controllo dei permessi e auto-rimozione

 Nel caso in cui il l'autorizzazione è stata rimossa, l'estensione si è disinstallata.

Persistenza del service worker

L'estensione inserisce uno script keepalive nelle schede per mantenere attivo il worker in background (evitando gli scaricamenti MV3).

Messaggi prioritari

 L'estensione invia messaggi ad altre estensioni per ottenere la priorità sulla navigazione.

Impostazioni UX false

L'estensione memorizza paese/versione/uid ma nessun codice del tunnel VPN locale reale, probabilmente una scelta estetica o guidata dal server.

 

2025 versione

La nuova versione, pubblicata il 21 luglio 2025, è notevolmente più avanzata e sfuggente della precedente: rimuove parte del codice palesemente sospetto e aggiunge meccanismi più insidiosi, come l'attivazione ritardata del proxy, il download dinamico del codice e la possibilità di disabilitare altre estensioni, rendendolo più difficile da rilevare ma garantendo un controllo remoto ancora maggiore sul browser e sul traffico dell'utente. Le parti sospette più evidenti sono:

 

Recupero remoto della configurazione multi-URL

Come le estensioni della versione precedente, anche questa recupera periodicamente una configurazione multi-URL per aggiornare il comportamento e i payload.

 

Script PAC remoto 

L'estensione imposta il proxy Chrome tramite pac_script scaricato dalla configurazione remota, che instrada il traffico attraverso i server degli aggressori. Tuttavia, nelle versioni più recenti, PAC prevede un ritardo di due secondi prima dell'attivazione, probabilmente utilizzato per eludere la sandbox. Inoltre, la logica di routing del proxy principale, incluse le variabili di configurazione e installazione, viene scaricata in fase di esecuzione ed eseguita dinamicamente.

Intercettazione della navigazione

L'estensione registra un listener chrome.webRequest.onBeforeRequest per " " indirizzando le richieste del mainframe, consentendo all'estensione di intercettare ogni caricamento di pagina e reindirizzare le schede alle destinazioni definite nella sua configurazione remota.

Aggiornamenti dinamici DNR

L'estensione utilizza declarativeNetRequest.updateDynamicRules per modificare al volo il filtraggio/routing.

Persistenza del service worker

L'estensione inserisce uno script keepalive nelle schede per mantenere attivo il worker in background (evitando gli scaricamenti MV3).

Disabilita altre estensioni proxy 

L'estensione esegue la scansione delle altre estensioni con autorizzazioni proxy e, se ne trova, le disabilita, assegnando un controllo esclusivo sul routing.

exfiltration

L'estensione enumera le estensioni installate e invia un elenco al server remoto.

Hashing e caricamento URL

L'estensione esegue l'hashing degli URL visitati e li invia periodicamente a C2 per la profilazione e il targeting.

Rischio e impatto

  • Intercettazione completa del traffico: Installando uno script PAC remoto e controllando gli endpoint proxy, un aggressore può instradare il traffico degli utenti attraverso i server che controlla, consentendo il monitoraggio passivo (registrazione), l'iniezione attiva (modifica HTML/JS), il furto di credenziali o la sostituzione mirata di contenuti.
  • Reindirizzamento selettivo e furtivo: Con gli aggiornamenti onBeforeRequest + DNR, l'operatore può indirizzare le vittime su pagine di phishing, pagine di download guidate o ad farm, per poi modificare i payload in un secondo momento senza l'interazione dell'utente.
  • Controllo remoto persistente: Il recupero del codice/configurazione in fase di esecuzione + gli aggiornamenti DNR + l'iniezione keepalive consentono all'operatore di modificare il comportamento dell'estensione dopo l'installazione, bypassando la revisione dello store dopo la pubblicazione iniziale.
  • Elusione dell'analisi e delle tracce: gate temporizzati (traffico diretto 2s), history.replaceState, disinstallazione dinamica al rilevamento. Tutte queste tattiche riducono le prove forensi e il rilevamento sandbox.
  • Espansione della superficie di attacco: la disattivazione di altre estensioni proxy o l'enumerazione delle estensioni installate consente la disattivazione mirata degli strumenti difensivi.
  • Privacy e profilazione: la raccolta di URL hash, elenchi di estensioni e potenzialmente cookie/token di sessione (se inoltrati tramite proxy ai server degli aggressori) costituisce una grave violazione della privacy e può consentire attacchi mirati successivi.

Conclusione

Queste estensioni dimostrano con quanta facilità un componente aggiuntivo affidabile per browser possa trasformarsi in un sistema proxy controllato da remoto: nel corso di sei anni, due estensioni "VPN gratuite" quasi identiche hanno reindirizzato silenziosamente il traffico, aggiornato il loro comportamento tramite canali di configurazione nascosti ed esfiltrato i dati degli utenti prima della rimozione, solo per far apparire un terzo clone due mesi dopo, dimostrando che anche gli strumenti commercializzati per la privacy possono trasformarsi in strumenti di sorveglianza di lunga durata quando vengono concessi ampi permessi e un controllo minimo.

Vale la pena ricordare che durante la nostra indagine abbiamo scoperto altre sei estensioni quasi identiche. Tuttavia, queste erano adblocker and programmi per scaricare musica.

IOC

ID estensione – Estensioni attive correnti

  • fgpecemjbefkjlcgnhjohdonijdkfooj – attivo – 30,000 utenti (Chrome)
  • kekfppnajjchccpkfaogiomfcncbgagc – 131,445 utenti (Edge)
  • nhiafglcjghpmcipelflfhkckdpcokid – attivo – 1,000 utenti
  • hfofhoffdcfcjgmilkpnhkamcgemaban – 100,000 utenti

ID estensione delle estensioni passate (non più attive):

  • foiopecknacmiihiocgdjgbjokkpkohc – 100,000 utenti
  • bibjcjfmgapbfoljiojpipaooddpkpai – 9,000,000 utenti
  • ngahaphlngmdfhbhkplbglnfhehnpgdb – 100,000 utenti 
  • ibibeegnncapfdcgpdnnbjbbojglhlmk – 20,000 utenti
  • anlhakiodmebohjmkbciohpglnjifjaa – 5,000 utenti

Email di supporto / domini

Nomi / marchi

  • “VPN Professional – Estensione Chrome per proxy VPN gratuita, sicura e illimitata”
  • “VPN-free.pro – VPN gratuita e illimitata”
  • “VPN illimitata gratuita”
  • “VPN Professional – Proxy VPN illimitato gratuito”
  • "Blocco annunci"
  • "OKmusic – scarica musica e video Одноклассники | OK.ru Music Downloader"
  • “Pulitore di annunci per Facebook”
  • “Composizione rapida | Segnalibri | Nuova scheda | Accesso rapido | Ricerca personalizzata”
  • “Скачать музыку” (“Scarica musica”)

 

 

Bonifica e mitigazione

Azioni immediate per gli utenti finali:

  1. Disinstallare qualsiasi estensione corrispondente agli IOC sopra indicati.
  2. Cancella i cookie del browser, l'archiviazione locale e tutte le credenziali memorizzate che potrebbero essere state acquisite mentre l'estensione era attiva.
  3. Ruota le password per gli account sensibili (soprattutto se hai utilizzato il browser per effettuare l'accesso mentre l'estensione era attiva).
  4. Esegui una scansione anti-malware/anti-adware in locale.

Azioni aziendali/SOC:

  1. Bloccare i domini di supporto identificati e gli host C2 nel perimetro della rete (DNS + proxy + firewall) durante l'indagine.
  2. Interrogare la telemetria per le installazioni di estensioni e le modifiche PAC (EDR/MDM: cercare le modifiche del registro o delle preferenze utilizzate per impostare i PAC).
  3. Revoca le sessioni per i servizi critici se il traffico è stato inoltrato tramite proxy tramite host aggressori.
  4. Informare gli utenti e richiedere la reinstallazione dei browser o il ripristino dei profili per gli endpoint interessati, se necessario.
  5. Segnalare le estensioni al Chrome Web Store con IOC dettagliati e prove a supporto.