I ricercatori di LayerX avevano individuato estensioni per Chrome che permettono di accedere alle conversazioni di ChatGPT. Ora hanno scoperto 30 estensioni, alcune delle quali ancora presenti sul Chrome Web Store, che sembrano noti assistenti AI. In realtà consentono di rubare password e altri dati dal browser.
Attenzione ai falsi assistenti AI
ChatGPT, Gemini, Claude, Copilot, Grok e altri chatbot sono utilizzati da milioni di utenti nel mondo per diverse attività. I cybercriminali hanno ovviamente approfittato della loro popolarità per distribuire estensioni per Chrome che dovrebbero offrire simili funzionalità. In realtà offrono funzionalità di infostealer, quindi rubano credenziali e altri dati dal browser.
Le 30 estensioni scoperte dai ricercatori di LayerX (alcune ancora presenti sul Chrome Web Store) sono pubblicizzate come tool per generare riassunti o bozze tramite i modelli dei suddetti chatbot. Hanno superato i controlli di Google perché il codice infetto viene scaricato dopo l’installazione. I nomi sono diversi, ma hanno molte cose in comune (infrastruttura, logica JavaScript, permessi). Fanno quindi parte della stessa campagna denominata AiFrame.
Il nome scelto dai ricercatori indica il funzionamento. L’interfaccia delle estensioni è un iframe a schermo intero, sovrapposto alle pagine web, che punta ad un dominio remoto. Questo iframe estrae il contenuto della pagina web attiva con uno script, inviando al server remoto informazioni sensibili, come le credenziali di login.
Alcune estensioni supportano anche il riconoscimento vocale. Possono quindi trascrivere e inviare al server remoto le conversazioni delle persone nelle vicinanze. Il target di 15 estensioni è Gmail. Dovrebbero aiutare l’utente nella scrittura dei messaggi, invece inviano le email ai cybercriminali.
I ricercatori hanno pubblicato l’elenco completo delle estensioni. Gli utenti che le hanno installate devono rimuoverle immediatamente e cambiare le password di tutti gli account.
Ti potrebbe interessare
14 feb 2026