Se un'estensione di Chrome promette di rimuovere i pop-up di sicurezza e generare AMF codici, che dovrebbero farti riflettere.
Tuttavia, trentatré persone non si fermarono.
Di recente, i ricercatori di sicurezza hanno scoperto un'estensione dannosa per Chrome chiamata CL Suite di @CLMasters, ID jkphinfhmfkckkcnifhjiplhfoiefffl. È stata caricata sul Chrome Web Store il 1° marzo 2025. Al momento della segnalazione, contava solo 33 utenti.
A prima vista, questa cifra sembra piccola. In realtà, non lo è.
In apparenza, l'estensione è stata commercializzata come uno strumento per gli utenti di Meta Business Suite. Nello specifico, affermava di poter estrarre dati, rimuovere i pop-up di verifica e generare codici di autenticazione a due fattori (AKA MFA)Per un addetto al marketing impegnato, questa sembra una questione di praticità. Al contrario, per un professionista della sicurezza, sembra un campanello d'allarme importante.
Al di sotto di questo livello di marketing, l'estensione aveva capacità ben più serie. Poteva rubare la tua password monouso basata sul tempo (o TOTP) seed, ovvero la chiave segreta utilizzata per generare password monouso basate sul tempo. Inoltre, potrebbe catturare codici 2FA in tempo reale. Potrebbe inoltre navigare automaticamente su facebook[.]com e meta[.]com e indirizzare la visualizzazione "Persone" del Business Manager.
Da lì, ha creato un file CSV contenente nomi, indirizzi email, ruoli, autorizzazioni e stato di accesso. Oltre a ciò, ha enumerato le entità di Business Manager e gli ID di esportazione, gli account pubblicitari, le pagine collegate, le risorse e i dettagli di configurazione della fatturazione.
In altre parole, non si è trattato di un semplice furto di dati. Si è trattato piuttosto di un'attività di ricognizione e furto di dati strutturata, mirata ed estremamente pericolosa.
Per comprendere appieno l'impatto, è necessario prima capire cosa è un TOTP Il seme è. L'autenticazione a due fattori basata su app funziona perché una chiave segreta genera codici a sei cifre a rotazione. Se un aggressore ruba la chiave segreta, può generare codici 2FA validi in qualsiasi momento.
Di conseguenza, non si limitano a bypassare la password, ma aggirano completamente il secondo livello di protezione. In parole povere, è come consegnare a qualcuno sia le chiavi di casa che il codice dell'allarme.
Ora, considera cosa Meta Business Manager controlla spesso. Pagine aziendali. Account pubblicitari. Metodi di pagamento. Accesso per dipendenti e partner.
Se gli aggressori riescono a esportare i ruoli utente e i dettagli di fatturazione, ottengono un modello dell'impronta digitale dell'organizzazione. Da lì, possono identificare account con privilegi elevati, reindirizzare la spesa pubblicitaria o lanciare attacchi mirati. Ingegneria sociale campagne. Di conseguenza, trentatré installazioni potrebbero portare a decine di violazioni aziendali, a un'esposizione finanziaria significativa e ad attacchi successivi da fonti attendibili. Una ricetta per il disastro!
Più in generale, il problema più grande qui è la fiducia. Molti utenti danno per scontato che tutto ciò che si trova nel Chrome Web Store sia sicuro. Anche se le estensioni vengono esaminate, comportamenti dannosi possono comunque insinuarsi. In alcuni casi, si nascondono negli aggiornamenti. In altri, si nascondono dietro funzionalità che sembrano utili.
La maggior parte degli utenti non esamina attentamente le autorizzazioni. Invece, clicca su "Aggiungi estensione" e passa oltre. Eppure, quel clic può garantire la possibilità di leggere i dati del sito web, interagire con i flussi di autenticazione e acquisire informazioni sulla sessione. Anche quando le app richiedono l'autorizzazione, gli utenti raramente leggono tutte le clausole scritte in piccolo su ciò che l'estensione consente loro di fare. Gli utenti sono come l'acqua di un fiume che scorre dolcemente intorno agli ostacoli sul loro cammino, senza quasi alcuna preoccupazione. Poi, dal nulla, arriva un'estensione dannosa simile a un coccodrillo e BAM! Ne conseguono cose davvero brutte.
Gli utenti devono rendersi conto che il browser non è più solo uno strumento di navigazione. Piuttosto, è potenzialmente una porta d'accesso ai sistemi e ai dati aziendali.
Fortunatamente, questo rischio è gestibile.
In primo luogo, le organizzazioni devono regolarmente controlla le estensioni installate e rimuovi tutto non approvato e non essenzialeSuccessivamente, gli ambienti gestiti dovrebbero implementare l'elenco di autorizzazioni in modo che siano consentite solo le estensioni approvate. Inoltre, i dipendenti dovrebbero essere formati per mettere in discussione le autorizzazioni, soprattutto quando un'estensione interferisce con l'autenticazione o pretende di aggirare i controlli di sicurezza. Infine, è fondamentale monitorare le piattaforme aziendali per individuare comportamenti amministrativi insoliti, poiché l'abuso di sessione raramente attiva avvisi di accesso.
In definitiva, la lezione è semplice. Gli aggressori confezionano miglioramenti della produttività che contengono attacchi nascosti. Mascherano il furto di dati come automazione. Soprattutto, fanno affidamento sulla comodità per prevalere sulla cautela.
La consapevolezza può aiutarti a pianificare il tuo programma di sicurezza, ad avvisare i tuoi utenti ed evitare queste minacce nascoste.
Scopri e condividi le ultime tendenze, i suggerimenti e le best practice in materia di sicurezza informatica, oltre alle nuove minacce a cui prestare attenzione.
E sì, l'intelligenza artificiale Gemini di Google non aveva idea di lavorare per i cattivi. Il malware ha sempre seguito un copione...
Leggi di più
I gruppi ransomware non si infiltrano più nelle organizzazioni come facevano cinque anni fa. I metodi di ingresso sono...
Leggi di più
Se un'estensione di Chrome promette di rimuovere i pop-up di sicurezza e di generare codici MFA, dovresti...
Leggi di piùOttieni una visione più attenta dei rischi per l'uomo, con un approccio positivo che supera i tradizionali test di phishing.
