WeTab e Infinity V+ sotto la lente: estensioni Chrome e Edge accusate di spiare

WeTab e Infinity V+ finiscono sotto la lente dopo che specialisti di cybersicurezza hanno segnalato che queste e altre estensioni per Chrome potrebbero aver dirottato i browser e raccolto dati sensibili in modo occulto per anni. Stando a KOI, la campagna avrebbe coinvolto circa 4,3 milioni di utenti di Chrome e Microsoft Edge e non puntava su phishing o social engineering, bensì su aggiornamenti silenziosi di componenti aggiuntivi già popolari.

KOI attribuisce l’operazione a un gruppo che chiama ShadyPanda. Il copione, pragmatico fino all’ovvietà: pubblicare estensioni pienamente funzionanti, costruire nel tempo pubblico, valutazioni e download, quindi far scivolare aggiornamenti con codice malevolo. Poiché gli store di estensioni controllano più a fondo il lancio iniziale che le modifiche successive, strumenti apparentemente affidabili possono restare a lungo inosservati. È un gioco di pazienza che sfrutta un punto cieco noto.

Nel suo report KOI ricostruisce diversi episodi, fra cui due campagne del 2023. Nella prima, decine di estensioni spacciate per pacchetti di sfondi e utilità avrebbero tracciato il comportamento degli utenti e modificato i contenuti su siti come eBay, Amazon e Booking.com, iniettando tag di affiliazione e tracker per monetizzare acquisti e dati di traffico. Nel secondo episodio, le funzioni malevole sono state collegate a Infinity V+: l’estensione reindirizzava le ricerche verso una risorsa esterna, catturava i cookie, registrava ciò che veniva digitato nella barra di ricerca ed esfiltrava i dati verso server esterni.

KOI descrive anche una “prima fase” in cui cinque estensioni hanno ricevuto una backdoor capace di eseguire codice da remoto, con un impatto stimato su circa 300.000 utenti. Alcune erano in vetrina dal 2018–2019 e sfoggiavano perfino badge che le suggerivano come raccomandate; a metà 2024, dopo la crescita delle installazioni, avrebbero ricevuto un aggiornamento che aggiungeva la backdoor. Il modulo poteva recuperare comandi su base regolare, scaricare JavaScript arbitrario, eseguirlo con i privilegi delle API del browser e iniettare contenuti HTTPS malevoli in qualsiasi sito. Raccoglieva inoltre cronologia di navigazione, referrer, timestamp, identificatori persistenti, un’impronta completa del browser e altri dati, cercando al contempo di abbassare il profilo se era attiva la modalità sviluppatore.

La parte più ampia dell’analisi si concentra su una “seconda fase”. KOI afferma che altre cinque estensioni dello stesso sviluppatore sono approdate nello store di Edge superando complessivamente i 4 milioni di installazioni, e che due di queste avrebbero potenzialmente avviato l’installazione di malware. La new‑tab WeTab ha catalizzato l’attenzione: le vengono attribuite circa 3 milioni di installazioni e l’invio occulto di telemetria, incluse URL visitate, risultati di ricerca, clic del mouse, impronta del browser, interazioni sulla pagina ed eventi di accesso allo storage. Secondo KOI i dati sono stati instradati attraverso numerosi domini, e il meccanismo di aggiornamento significava che i browser compromessi potevano essere trasformati in nodi controllabili per ulteriori attacchi in qualsiasi momento.

Tutto questo mette a nudo quanto sia fragile il modello di fiducia che circonda le estensioni: anche un componente aggiuntivo popolare e ben recensito può cambiare pelle dopo un aggiornamento. Il consiglio pratico è banale ma spesso salva guai: rivedere le estensioni installate, eliminare ciò che non serve, controllare con attenzione le autorizzazioni e, se il browser si comporta in modo anomalo, eseguire una verifica del sistema e cambiare le password, soprattutto se un’estensione potrebbe aver avuto accesso ai cookie e alla cronologia di navigazione.