Estensione offline falsa per Google Docs
La falsa estensione Google Docs Offline è un componente aggiuntivo dannoso per il browser, progettato per apparire come uno strumento legittimo. Travestito da servizio Google affidabile, fa in realtà parte di una più ampia campagna di attacchi informatici nota come GlassWorm. Questa estensione non viene installata direttamente dall'utente; viene invece iniettata silenziosamente nel browser da un malware preesistente tramite uno script dannoso. Una volta presente, si mimetizza con le estensioni legittime, rendendone difficile l'individuazione.
Sommario
Infiltrazione silenziosa tramite attacchi a catena
Questa minaccia si diffonde attraverso un sofisticato attacco a catena che sfrutta piattaforme compromesse come repository GitHub, pacchetti npm e store di estensioni per browser. I criminali informatici dietro GlassWorm incorporano codice dannoso all'interno di progetti o aggiornamenti software apparentemente legittimi, facendoli apparire sicuri.
Quando gli utenti installano o aggiornano software infetto, il codice nascosto si attiva in background e inietta la falsa estensione nel browser. In alcuni casi, il malware viene diffuso tramite meccanismi di aggiornamento ingannevoli che imitano fedelmente i processi ufficiali, aumentando ulteriormente la probabilità di un'infezione riuscita.
Monitoraggio completo del browser e raccolta dati
Una volta installata, la falsa estensione funziona come un Trojan di amministrazione remota (RAT), garantendo agli aggressori un controllo esteso sull'attività del browser. È in grado di raccogliere una vasta gamma di informazioni sensibili, tra cui:
- Tasti premuti, incluse le credenziali di accesso e i dati inseriti nei moduli.
- Cookie e dati di sessione attivi dai siti web
- Codice completo delle schede del browser attive
- Schermate delle pagine aperte
- Contenuto degli appunti e segnalibri salvati
- Cronologia di navigazione (fino a 5000 voci)
- Dettagli relativi al dispositivo e al browser, inclusi i dati hardware e GPU/WebGL.
- Informazioni sulle estensioni del browser installate
Tutti i dati raccolti vengono aggregati e trasmessi ai criminali informatici, spesso senza che la vittima se ne accorga.
Gravi conseguenze per la sicurezza personale e aziendale
Il livello di accesso concesso da questa estensione dannosa mette a rischio un'ampia gamma di dati sensibili. Email private, messaggi, documenti e altre informazioni personali possono essere esposti. L'attività finanziaria è particolarmente vulnerabile, incluse le sessioni di online banking, i dettagli di pagamento e gli account di criptovalute a cui si accede tramite il browser.
Gli aggressori possono sfruttare questi dati per impossessarsi di account, rubare fondi, impersonare utenti e condurre ulteriori operazioni dannose. Se installato su un dispositivo aziendale, l'impatto può degenerare in una vera e propria violazione della sicurezza aziendale, compromettendo potenzialmente i sistemi interni e i dati aziendali riservati.
Abuso dei controlli di gestione del browser
Oltre alle sue capacità di spionaggio, l'estensione manipola la funzione "Gestito dalla tua organizzazione" del browser. In circostanze normali, questa impostazione indica che un browser è controllato da un amministratore ufficiale, ad esempio in un ambiente aziendale.
Sfruttando questa funzionalità, il malware può limitare il controllo dell'utente, impedire i metodi di rimozione standard e limitare l'accesso alle impostazioni del browser. Questa tattica consente all'estensione dannosa di persistere e rimanere inosservata per lunghi periodi.
Una minaccia persistente e ad alto rischio
La falsa estensione Google Docs Offline rappresenta un serio rischio per la sicurezza informatica a causa della sua capacità di camuffarsi, monitorare l'attività dell'utente e rubare dati altamente sensibili. I suoi metodi di installazione furtivi e i meccanismi di persistenza la rendono particolarmente pericolosa.
Se rilevata, l'estensione e tutti i componenti dannosi correlati devono essere rimossi immediatamente per prevenire ulteriori furti di dati e potenziali compromissioni a lungo termine.
