I ricercatori di Socket hanno individuato oltre 100 estensioni di Chrome sullo store ufficiale che possono essere utilizzate per rubare l’account Google e altri dati degli utenti. Molte estensioni sono ancora disponibili per il download. L’azienda di Mountain View non ha rilasciato commenti. Teoricamente dovrebbero essere bloccate dalle protezioni integrate nel browser.
Furto di account e dati
Le estensioni, pubblicate da cinque sviluppatori in varie categorie, sono state scaricate complessivamente oltre 20.000 volte. Tutte condividono lo stesso backend ospitato su un VPS (Virtual Private Server) di Contabo con sottodomini multipli dedicati alle varie funzionalità illecite. In base ai commenti presenti nel codice, gli autori sono di origine russa.
La maggioranza delle estensioni (54 su 108) permette di rubare l’account Google. In dettaglio possono raccogliere nome, indirizzo email, foto del profilo, identificatore univoco e token di autenticazione. Quando l’ignara vittima effettua il login, le estensioni intercettano questi dati e l’account finisce nelle mani dei cybercriminali.
Un altro gruppo di estensioni (45 su 108) esegue una funzione nascosta all’avvio del browser e apre una backdoor usata per inviare e ricevere comandi dal server remoto. Altre estensioni iniettano codice HTML nell’interfaccia utente e rubano i token di sessione di Telegram Web ogni 15 secondi, consentendo quindi il furto dell’account.
Ci sono inoltre estensioni che iniettano script in ogni pagina visitata e pubblicità su YouTube e TikTok. I ricercatori hanno segnalato le estensioni a Google, ma molte sono ancora sul Chrome Web Store. Gli utenti devono rimuovere tutte le estensioni elencate sul sito di Socket, revocare eventuali permessi di accesso all’account Google e chiudere tutte le sessioni di Telegram Web.
Ti potrebbe interessare
16 apr 2026