Le estensioni per il blocco degli annunci pubblicitari sono state volutamente infettate dal nuovo proprietario, che ha introdotto al loro interno un malware capace di manomettere gli account dei social network degli utenti finali. E così, centinaia di migliaia di persone che avevano scaricato le estensioni tempo fa, si sono ritrovate infettate dai relativi aggiornamenti automatici

Malware estensioni Nano Adblocker Nano Defender. Rimuovetele immediatamente Chrome!

Hugo Xu, sviluppatore delle estensioni Nano Adblocker e Nano Defender, ha dichiarato 17 giorni fa di non avere più tempo di seguire il progetto e ha deciso di venderne i diritti per le versioni disponibili nel Chrome Web Store di Google. Nano Adblocker e Nano Defender, che spesso vengono installate insieme, vantano circa 300.000 installazioni in totale.

Sta di fatto che 4 giorni fa, Raymond Hill, creatore dell'estensione uBlock Origin su cui si basa Nano Adblocker, ha rivelato che i nuovi sviluppatori subentrati nella gestione del progetto hanno avuto la "bella idea" di aggiungere codice dannoso alle versioni aggiornate delle estensioni.

Così, dalla sera alla mattina, gli utenti finali si sono ritrovati con i browser infetti, che emettevano automaticamente "Mi piace" a svariati post di Instagram, senza alcun input da parte degli utenti.

La versione infetta di Nano Adblocker è la 1.0.0.154, mentre la versione infetta di Nano Defender è la 15.0.0.206. Entrambe sono state potenzialmente infettive nel lasso di tempo che va dal 15 al 16 ottobre 2020.

Ma Nano Adblocker e Nano Defender non sono le uniche estensioni coinvolte in questa operazione criminale. Sembra infatti che si sia comportata allo stesso modo anche User-Agent Switcher, un'estensione originariamente realizzata da eSolutions Nordic AB e poi venduta a terzi, che aveva più di 100.000 utenti attivi fino a quando Google non l'ha rimossa all'inizio di questo mese.

Si ipotizza che le estensioni aggiornate infettate dal malware accedano ai cookie di autenticazione e li utilizzino per entrare negli account dell'utente.

Google ha già rimosso le estensioni dal Chrome Web Store e ha emesso un avviso che indica che non sono sicure. Chiunque abbia installato una di queste estensioni dovrebbe rimuoverle immediatamente dai propri dispositivi. La possibilità che le estensioni abbiano caricato dei cookie di sessione significa che chiunque sia stato infettato dovrebbe almeno disconnettersi completamente da tutti i siti interessati. Nella maggior parte dei casi, ciò dovrebbe bastare ad invalidare i cookie di sessione, impedendo a chiunque di utilizzarli per accedere senza autorizzazioni. Cambiare le password di accesso ai social network sarebbe un'ulteriore avvertenza, che male non fa.

È difficile fornire consigli pratici per prevenire questo tipo di incidenti di sicurezza: chi avrebbe mai pensato che qualcuno acquisisse un'estensione del browser consolidata e la modificasse con il solo intento di infettare tutta la vasta base di utenti che a suo tempo l'aveva installata? Le estensioni Nano, di per sé, erano sicure e gli utenti avevano tutte le ragioni per dirsi tranquilli fino a quando, ovviamente, è andato tutto a carte quarantotto. Il miglior consiglio sarebbe quello di rivedere regolarmente le estensioni installate, avendo cura di rimuovere tutto ciò che non è più utile.