Ermes Intelligent Web Protection intercetta nuova campagna di hacking pericolosa

SocialDivert, la campagna di hacking che ha colpito oltre 220mila utenti attraverso l’installazione di almeno 34 estensioni del browser disponibili su Google Chrome Web Store e Microsoft Edge Add-Ons Store ha preso di mira persone, imprese e organizzazioni.

Il team ricerca di Ermes - Intelligent Web Protection, la sola realtà italiana riconosciuta riconosciuta da Gartner tra le top 100 mondiali nel panorama cybersecurity, è stata in grado di isolarla: dopo averla identificata, ha notificato gli store coinvolti, oltre 650 nuovi utenti al giorno potenziali vittime.

L'analisi che ha portato all'identificazione della campagna delle estensioni malevole ha originato il white paper “Hijacked on the web: The Growing Threat of Malicious browser extension”  che passa in rassegna alcune delle minacce e degli attacchi specifici che possono derivare dall'uso di plug-in del browser infetti, una panoramica sul fenomeno e una soluzione al loro rilevamento precoce.

"Fisionomia" di un fenomeno in crescita 

 Difficoltà di individuazione di eventuali attacchi e controlli ancora troppo "snelli" da parte degli store sulle estensioni del browser sono alla base della crescita di un fenomeno che è stato sottovalutato: l’hackeraggio attraverso l’installazione di plug-in. Re ai rischi possibili truffe, furti di dati sensibili, minacce e ricatti.

Una volta installate, infatti, le estensioni infette possono fornire ai cyber criminali una visibilità completa della navigazione web dell’utente: questo include informazioni sensibili come e-mail, credenziali e servizi web interni aziendali. Nella maggior parte dei casi, un plug-in malevolo può interferire con la navigazione dell'utente reindirizzandolo di nascosto ad altri siti web, contattando servizi remoti e intercettando comunicazioni private. Queste azioni criminali vengono ovviamente eseguite senza che l'utente si accorga di nulla.

Nello specifico, il veicolo di attacco architettato per questa campagna è stato l’installazione di almeno 34 estensioni del browser disponibili sugli store Edge e Chrome: 18 nell'Edge Add-Ons Store e 16 nel Chrome Web Store. Come già accennato, erano nel mirino persone, imprese e organizzazioni, con l'intento di acquisire credenziali, informazioni sensibili e account, manomissione dei social media e apertura di backdoor per il controllo dei dispositivi degli utenti. Il meccanismo del suo funzionamento era basato sul reindirizzamento del traffico a siti Web di distribuzione di phishing e malware.