Microsoft ha analizzato due estensioni per Chrome e browser basati su Chromium che sembrano quelle ufficiali di ChatGPT e DeepSeek. Permettono invece ai cybercriminali di accedere alle conversazioni e rubare i dati sensibili scambiati con il chatbot. Rappresentano quindi un grave pericolo per le aziende. Le estensioni che “imitano” gli assistenti AI sono sempre più diffuse.
Attenzione alle false estensioni dei chatbot
Per qualche ignoto motivo le due estensioni sono state pubblicate sul Chrome Web Store. Dovrebbero permettere di interagire con ChatGPT e DeepSeek tramite la barra laterale di Chrome, Edge o altri browser basati su Chromium. Gli esperti di Microsoft hanno notato che alcuni browser agentici scaricano automaticamente le estensioni, in quanto vengono ingannati da nome e descrizione.
Al termine dell’installazione rimangono silenti in background e “vedono” tutti i contenuti nel browser, incluse le conversazioni con i chatbot. Sono ovviamente persistenti perché vengono attivate automaticamente ogni volta che l’utente apre Chrome o Edge. Gli utenti possono disattivare l’accesso ai dati e agli URL, ma la raccolta viene ripristinata dopo un aggiornamento.
La cronologia delle conservazioni viene conservata sul dispositivo e inviata un po’ alla volta al server C2 (command and control) per non destare sospetti. Il traffico di rete è quindi mascherato da quello standard del browser, senza usare protocolli custom o connessioni permanenti.
Dopo il completamento della trasmissione, i buffer locali vengono eliminati, quindi sul disco non rimangono tracce. È quindi un furto di dati a “basso rumore” che non sempre viene rilevato dai tool di analisi forense. Microsoft ha scoperto che le due estensioni sono state usate su oltre 20.000 computer aziendali. È quindi molto probabile il furto di dati confidenziali.
Ti potrebbe interessare
6 mar 2026