I ricercatori di ReasonLabs hanno scoperto tre estensioni per Chrome che sembrano normali VPN. In realtà modificano le impostazioni del browser e rubano dati. Vengono solitamente distribuite tramite file torrent di giochi pirata, ma sono state pubblicate anche sul Chrome Web Store (Google le ha prontamente rimosse).
Attenzione ai software pirata
Le tre estensioni sono netPlus, netSave e netWin. Le versioni distribuite tramite Chrome Web Store erano state scaricate complessivamente oltre 1,5 milioni di volte, prima di essere rimosse. Gli installer erano nascosti in copie pirata di popolari giochi, tra cui Grand Theft Auto, Assassins Creed, The Sims 4 e Heroes 3. I ricercatori hanno individuato oltre 1.000 file torrent contenenti gli installer (dimensioni comprese tra 60 e 100 MB).
L’installazione delle false VPN avviene in modo automatico attraverso una chiave di registro, quindi all’insaputa dell’utente e senza nessuna approvazione. L’estensione netPlus viene installata anche su Microsoft Edge. Tutti mostrano un’interfaccia realistica con alcune funzionalità tipiche di una VPN.
Grazie ai numerosi permessi, le estensioni possono interrompere l’attività di navigazione, modificare le richieste web, disattivare altre estensioni e rubare dati sensibili. Le estensioni comunicano con i server C2 (command and control), dai quali ricevono istruzioni e ai quali inviano i dati rubati.
I ricercatori suggeriscono di non scaricare software pirata, installare una soluzione di sicurezza e di usare VPN conosciute per evitare di cadere nella trappola dei cybercriminali.