L’estensione SpiderX Wallet per il browser Chrome non è ciò per cui si spaccia. In realtà, infatti, si tratta di un malware creato a fine di rubare dati personali e criptovalute agli utenti. A scoprirlo sono stati i ricercatori di Cybernews.
Chrome: malware mascherato da estensione ruba dati personali e criptomonete
Andando più in dettaglio, la falsa estensione ruba informazioni, fa screenshot e accede alla cronologia. Si è diffusa in maniera piuttosto rapida grazie alla campagna pubblicitaria messa in atto dal responsabile, un hacker israeliano, identificato dopo che aveva lasciato aperta un’istanza su Elasticsearch, motore di ricerca e analisi diffuso a livello aziendale.
“Nonostante l’esecuzione dilettantesca e la disattenzione, l’autore della minaccia invia decine di migliaia di email di spam al mese e ha un tasso di infezione dell’1%. Al momento della scoperta, c’erano oltre 500 vittime infette e la campagna è ancora in corso”, riferiscono i ricercatori di Cybernews.
Prima della minaccia, l’hacker ha configurato e testato l’infrastruttura utilizzando la sua e-mail, il suo indirizzo IP e altre informazioni personali, il che ha permesso di identificare l’ideatore della malefatta.
Una volta installata, l’estensione si collega ad un server WebSocket instaurando una comunicazione bidirezionale con il browser. Il codice interagisce con le schede Chrome tramite l’API chrome.tabs, acquisisce screenshot ogni secondo e invia raccolte, cronologia di navigazione e dati dei moduli ai server.
Prima che venisse individuata da Cybernews, l’estensione dannosa era riuscita a sfuggire a tutti i controlli.
Da notare che questa non è la prima volta che dietro un’estensione per Chrome si cela in realtà un malware. Basti pensare a quando, a giugno scorso, furono scovate in un sol colpo ben 18 estensioni del genere.