Casa Blog Acquisizione silenziosa: come le estensioni Chrome acquistate sono diventate strumenti di manipolazione di pagine web controllati a distanza

Acquisizione silenziosa: come le estensioni Chrome acquistate sono diventate strumenti di manipolazione di pagine web controllati a distanza

 

Sintesi

La nostra indagine ha portato alla luce una campagna coordinata in cui diverse estensioni di Chrome, inizialmente innocue e con scopi non correlati, sono state trasformate in strumenti di iniezione di contenuti controllati da remoto. Sebbene le estensioni sembrassero innocue e non richiedessero autorizzazioni speciali, ciascuna di esse veniva modificata per scaricare periodicamente un file di configurazione da un dominio controllato dall'aggressore. Queste regole dinamiche consentivano alle estensioni di sovrascrivere il contenuto delle pagine web, iniettare codice HTML esterno e manipolare i siti visitati dall'utente senza richiedere un aggiornamento del Web Store.

L'analisi dell'infrastruttura ha rivelato che è stata introdotta una funzionalità dannosa delle estensioni subito dopo i trasferimenti di proprietà nel Chrome Web Store, un modello osservato in diversi casi. Parallelamente, i domini di comando e controllo (C2) utilizzati per fornire istruzioni remote sono stati registrati poco prima che gli aggiornamenti compromessi venissero pubblicati, suggerendo una preparazione premeditata dell'infrastruttura dell'aggressore. La convergenza di logiche di iniezione identiche, modelli architettonici condivisi, registrazioni di dominio sincronizzate e modifiche al codice post-acquisizione indica che queste estensioni sono state compromesse e rese operative come parte di un campagna coordinata e supportata dalle infrastrutture piuttosto che incidenti isolati.

Analisi Tecnica

Sebbene ogni estensione presentasse una diversa funzionalità benigna, il codice interno implementava gli stessi comportamenti ad alto rischio. In tutte le estensioni analizzate, un meccanismo nascosto ricorrente consentiva la manipolazione remota e dinamica delle pagine web. Di seguito ci concentreremo sui comportamenti dannosi persistenti in tutte le estensioni individuate:

  1. Recupero della configurazione remota

Ogni estensione contattava un server esterno ogni 5 minuti per scaricare un nuovo file di configurazione (config.php o theme.php).

Questo file conteneva istruzioni che controllavano:

  • Quali siti web prendere di mira
  • Quali elementi DOM modificare
  • Quale payload remoto iniettare

Figura 1. Un'espressione regolare che corrisponde a 'location.href'

Poiché queste configurazioni provengono da domini controllati dagli aggressori, il comportamento dell'estensione può essere modificato all'istante, senza alcun aggiornamento tramite il Chrome Web Store.

Questo design crea effettivamente un canale di comando e controllo all'interno del browser.

  1. Iniezione DOM dinamica

La configurazione scaricata ha definito regole quali:

  • modello – regex per abbinare i siti web mirati
  • selettore – elementi nel DOM da sovrascrivere
  • URL – endpoint remoto che fornisce HTML/testo iniettato
  • attra – la proprietà DOM da sostituire (ad esempio, innerHTML, src, href)

Figura 2. Sostituzione dell'oggetto DOM

Le estensioni hanno utilizzato queste regole per recuperare contenuti controllati dagli aggressori e iniettarli direttamente nelle pagine web:

Ciò consente ai server remoti di:

  • Sostituisci i moduli di accesso
  • Inserisci sovrapposizioni di phishing
  • Modificare le pagine finanziarie o di acquisto
  • Iniettare annunci o beacon di tracciamento
  • Modificare i contenuti dei social media

Tutti senza avvisi, autorizzazioni o visibilità dell'utente.

  1. Manipolazione persistente tramite MutationObservers

Per garantire che le modifiche non possano essere annullate dal sito web, l'estensione utilizza MutationObserver. 

Ciò riapplica continuamente il contenuto inserito ogni volta che la pagina viene aggiornata, garantendo una manipolazione persistente e furtiva.

Le estensioni condividono un'architettura comune progettata per consentire ai server remoti di riscrivere qualsiasi pagina web visitata dall'utente, silenziosamente e ripetutamente. Ciò costituisce un framework di manipolazione del browser altamente flessibile e pericoloso, mascherato da utilità innocue.

Analisi delle infrastrutture

La nostra indagine ha rivelato un ecosistema coordinato di trasferimenti di proprietà delle estensioni, domini di comando e controllo (C2) rapidamente forniti e aggiornamenti dannosi sincronizzati, forti indicatori del fatto che queste estensioni sono state compromesse e rese operative come parte di una campagna strutturata piuttosto che come eventi isolati.

  1. Trasferimenti di proprietà dell'estensione e armamento post-acquisizione

I metadati storici del Chrome Web Store mostrano uno schema coerente: le estensioni si sono comportate in modo benigno fino a poco dopo il cambio di proprietà. In diversi campioni abbiamo osservato:

  • Una modifica apportata al proprietario o allo sviluppatore dell'estensione elencata poco prima dell'aggiornamento dannoso.
  • Nessuna prova di logica di configurazione remota nelle versioni precedenti.
  • Un inserimento improvviso di:
    • Recupero periodico dei file di configurazione remoti
    • Set di regole per la riscrittura del DOM
    • Chiamate Beacon a install.php
    • Codice di supporto che consente la manipolazione persistente dei contenuti

Le recensioni degli utenti confermano questa cronologia, notando comportamenti inaspettati subito dopo questi aggiornamenti.

Ciò è in linea con una strategia nota nelle campagne contro l'abuso delle estensioni: Gli autori delle minacce acquistano estensioni ad alto numero di installazioni e le adattano con un framework dannoso modulare.

  1.  Accoppiamento temporale tra registrazione del dominio C2 e aggiornamenti dannosi

L'analisi dei record WHOIS per l'infrastruttura utilizzata dalle estensioni rivela una sorprendente correlazione temporale.

Osservazioni chiave:

  • I domini sono stati registrati giorni a settimane prima che venissero pubblicate le versioni dannose dell'estensione.
  • Gli aggiornamenti dannosi hanno iniziato a interrogare questi domini quasi immediatamente dopo la loro messa online.
  • I domini condividono convenzioni di denominazione e caratteristiche infrastrutturali simili, il che suggerisce un provisioning centralizzato.

Questo schema è coerente con il fatto che gli avversari preparano l'infrastruttura operativa immediatamente prima di attivare le estensioni compromesse.

  1. Versioni pulite vs. dannose

I confronti del codice tra le versioni precedenti e quelle successive evidenziano un chiaro punto di svolta:

Versioni pre-compromesso (benigne)

  • Conteneva solo le funzionalità pubblicizzate (ad esempio, modifica delle immagini, rilevamento video, estrazione DOI).
  • Nessuna risorsa di configurazione esterna.
  • Nessuna iniezione di contenuto dinamico.
  • Nessun meccanismo di monitoraggio persistente (ad esempio, MutationObservers).
  • Nessuna API di debugger o fingerprinting.

Versioni post-compromesso (dannose)

  • Aggiunto un ciclo di recupero della configurazione remota (in genere un polling di 5 minuti).
  • Introdotta la manipolazione DOM guidata dalle istruzioni utilizzando regole corrispondenti alle espressioni regolari.
  • Incorpora un motore di iniezione riutilizzabile in grado di sovrascrivere contenuti di pagina arbitrari.
  • Beacon di installazione integrati per la telemetria verso i domini controllati dagli aggressori.

Figura 3. kbaofbaehfbehifbkhplkifihabcicoi prima e dopo

La differenza supporta fortemente l'ipotesi di una deliberata militarizzazione dopo l'acquisizione.

  1. Indicatori di un toolkit condiviso o di un attore di minacce unificato

Un confronto incrociato ha evidenziato un elevato grado di similarità strutturale:

  • Intervalli di polling identici (300 secondi).
  • Logica quasi identica per l'analisi delle regole di configurazione remota.
  • Denominazione coerente dei campi quali pathMatch, selector, applyMethod, resourceLink.
  • Endpoint remoti ricorrenti (config.php, theme.php, install.php).
  • Simili modelli di soppressione degli errori e chiamate fetch() che falliscono silenziosamente.
  • Modelli corrispondenti nel modo in cui il contenuto iniettato sostituisce gli attributi DOM.
ID interno Cambio di proprietario Registrazione Dominio Versione dannosa spinta
kbaofbaehfbehifbkhplkifihabcicoi 2025-07-19 2025-07-27 2025-07-30
ijhbioflmfpgfmgapjnojopobfncdeif 2025-07-23 2025-08-20 2025-08-27
nimnhhcainjoacphlmhbkodofenjgobh 2025-07-19 2025-08-20 2025-08-22
jleonlfcaijhkgejhhjfjinedgficgaj 2025-04-14 2025-08-22 2025-08-26
pgfjnclkpdmocilijgalomiaokgjejdm 2025-07-19 2025-08-13 2025-08-16
eekibodjacokkihmicbjgdpdfhkjemlf 2025-09-21 2025-09-23 2025-09-25
ggjlkinaanncojaippgbndimlhcdlohf 2024-09-25 2024-09-30 2024-10-11
ncbknoohfjmcfneopnfkapmkblaenokb 2024-12-13 2025-02-03 2025-02-07

La convergenza tra più estensioni con marchi indipendenti suggerisce un singolo sviluppatore del framework dannoso o un servizio criminale che offre un kit di strumenti di estensione-militarizzazione chiavi in ​​mano.

L'infrastruttura, le tempistiche e le relazioni tra codici base indicano collettivamente un'operazione coordinata piuttosto che un abuso opportunistico o non correlato.

Campagna di dicembre 2025

LayerX Security monitora costantemente i casi in cui estensioni del browser precedentemente benigne si evolvono in estensioni dannose. A dicembre, abbiamo identificato diverse estensioni aggiuntive pubblicate dagli stessi autori che hanno assunto un comportamento dannoso, rivelando una nuova campagna mirata a convertire estensioni benigne in adware aggressivi.

Inizialmente, le estensioni sembrano innocue, implementando una funzionalità semplice. Tuttavia, oltre a questa funzionalità dichiarata, il codice recupera anche una configurazione remota da un server esterno. Questa configurazione contiene un elenco di domini su cui l'estensione inietta notifiche ingannevoli, ciascuna delle quali incorpora un URL che favorisce la catena di infezione.

Figura 4. File di configurazione recuperato.

Quando un utente visita uno di questi domini, viene immediatamente visualizzata una notifica dannosa che richiede una fase di "verifica umana".

Figura 5. Notifica falsa.

Il pulsante di verifica reindirizza la vittima a pagine successive "non un robot" che presentano solo immagini statiche, mentre, in background, uno script registra un service worker, rileva le impronte digitali del dispositivo, del browser e del sistema operativo dell'utente e trasmette queste informazioni a pushtorm.net. All'utente viene quindi richiesto di concedere le autorizzazioni di notifica.

Figura 6. Richiesta di autorizzazione.

Una volta concessa, l'estensione invia ripetutamente pubblicità intrusive tramite lo stesso meccanismo di reindirizzamento e abuso delle notifiche, sottoponendo di fatto l'utente a comportamenti adware persistenti e aggressivi.

Conclusione

La nostra analisi rivela che queste estensioni non erano casi isolati di comportamento dannoso, ma componenti di un framework di distribuzione coordinato e in continua evoluzione. Sebbene ciascuna estensione presentasse una diversa funzionalità benigna, condividevano un motore di iniezione controllato da remoto, una logica di configurazione identica e un ciclo di polling coerente di 5 minuti.

L'analisi delle infrastrutture mostra inoltre che la maggior parte delle estensioni sono state trasformati in armi solo dopo il trasferimento della proprietàe i domini di comando e controllo controllati dall'attaccante erano registrato poco prima degli aggiornamenti dannosiQuesto stretto accoppiamento indica chiaramente una campagna deliberata e organizzata che acquisisce estensioni legittime e le adatta con un kit di strumenti modulari per l'iniezione di contenuti.

Nel complesso, questi risultati dimostrano uno schema chiaro: un sistema scalabile e gestito centralmente, progettato per manipolare pagine web, distribuire payload arbitrari ed evolversi rapidamente senza richiedere nuovi aggiornamenti del Web Store. Ciò evidenzia un punto cieco significativo negli attuali modelli di revisione delle estensioni e sottolinea la necessità di un rilevamento più efficace dei comportamenti di configurazione remota e degli abusi delle estensioni post-acquisizione.

IOC

ID degli interni - Interni attualmente attivi

ID Nome Installazioni
kbaofbaehfbehifbkhplkifihabcicoi Editor PhotoExpress 5,000
ijhbioflmfpgfmgapjnojopobfncdeif Estensione Canva per Chrome | Editor di design, arte e intelligenza artificiale 1,000
nimnhhcainjoacphlmhbkodofenjgobh Internet Archive Saver 2,000
jleonlfcaijhkgejhhjfjinedgficgaj CapCut Video Editor & Downloader 6,000
pgfjnclkpdmocilijgalomiaokgjejdm SnapConnect per Chrome 2,000
jnkmepoonohhfijlbajdphhinhkoefjn Plugin del servizio di stampa HP

 

 1,000
gmmhcbmmnclgmmjimiiefhiagmpamdlb Modifica qualsiasi elemento - Potenzia qualsiasi pagina 780
ooobfpifjkgeopllkalfgkbiefhooggl Blooket Hacker Pro

 

 2,000
cehifnkfcddaeppdajpfldbpommggaca Hacker di Kahoot

 

 1,000
Eggegjdejilddmnlglakcaigefefcdaf InteractiveFics

 

 350

ID delle estensioni - Rimossi dalle estensioni dello Store

ID Nome Installazioni
eekibodjacokkihmicbjgdpdfhkjemlf InteractiveFics 3,000
ggjlkinaanncojaippgbndimlhcdlohf PaperPanda — Ottieni milioni di articoli di ricerca 100,000
ncbknoohfjmcfneopnfkapmkblaenokb Vytal - Falsificazione di fuso orario, geolocalizzazione, impostazioni locali e sicurezza 40,000

Domini ed e-mail di supporto

TTP

tattica Tecnica
Sviluppo delle risorse LX2.001(T1588) - Acquisire capacità
Accesso alle credenziali LX8.008 - Manomissione della rete
Scoperta LX9.003 (T1082) - Rilevamento delle informazioni di sistema
Comando e controllo LX11.004 - Stabilire una connessione di rete
Impact LX13.004.1 (T1565) - Manipolazione dei dati: Manipolazione dei contenuti

Bonifica e mitigazione

Per gli utenti

  • Rimuovi le estensioni che caricano file di configurazione remoti: qualsiasi estensione che scarichi file come config.php o theme.php da server sconosciuti rappresenta un rischio.

  • Evitate le estensioni che modificano i contenuti web senza una chiara giustificazione: riscrittura del DOM + contenuti remoti = alto rischio.

  • Preferisci sviluppatori con un'ottima reputazione e ben noti; evita estensioni "nuove", "sconosciute" o con poche recensioni.

  • Analizza l'attività delle estensioni utilizzando gli strumenti integrati di Chrome, in particolare per individuare eventuali connessioni di rete insolite.

Per i team di sicurezza

  • Rileva artefatti comuni: segnala le estensioni che:

    • Recupera le configurazioni di iniezione remota
    • Utilizzare query con timestamp che bypassano la cache
    • Definire le regole di iniezione con selettori e pattern
    • Utilizzare MutationObservers in modo aggressivo
    • Utilizzare le API di Chrome Debugger inutilmente

  • Eseguire test comportamentali in ambiente sandbox - Monitorare:

    • Modifiche DOM
    • Chiamate di rete in uscita
    • Elementi modificati
      Tempistica dei pull di configurazione remota

  • Blocca i domini noti per essere dannosi: monitora i domini correlati a queste famiglie di estensioni.