Due estensioni per Chrome nascondono una backdoor che ruba le credenziali di Roblox e gli asset su Rolimons, la piattaforma di trading di Roblox. Il pericolo è stato evidenziato su Twitter da RTC, un utente che pubblica notizie sul gioco. Google ha già rimosso le estensioni dal Chrome Web Store.
Backdoor nascosta in SearchBlox
Effettuando una ricerca sul Chrome Web Store risultavano due estensioni SearchBlox che, in base alla descrizione, permettevano di cercare velocemente un giocatore sui server di Roblox. Gli esperti di BleepingComputer hanno scaricato le estensioni e analizzato il codice, trovando la stessa backdoor, ovvero l’URL hxxps://searchblox[.]site/image.png/image.txt
.
La struttura dell’indirizzo è già sospetta, ma dopo aver aperto la pagina si scopre uno strano codice HTML. All’interno del tag img
c’è un codice JavaScript offuscato con i simboli & e #. Dopo aver decodificato il codice si scopre la funzionalità della backdoor, ovvero l’invio delle credenziali dell’account Roblox ad un sito remoto.
Nel codice ci sono riferimenti al profilo di un utente su Rolimons, espulso ieri dalla piattaforma di trading, in quanto ritenuto l’autore delle estensioni SearchBlox. Dopo aver ricevuto la segnalazione da BleepingComputer, Google ha prontamente rimosso le estensioni dal Chrome Web Store e dal browser degli utenti.
Al momento, sia le estensioni che le URL sono rilevate da un numero ridotto di antivirus. Gli utenti devono sempre utilizzare una soluzione di sicurezza per proteggere i dispositivi da questo tipo di minacce informatiche.