Individui, imprese e organizzazioni nel mirino di SocialDivert, la campagna di hacking che ha colpito oltre 220.000 utenti attraverso l’installazione di almeno 34 estensioni del browser disponibili su Google Chrome Web Store e Microsoft Edge Add-Ons Store. A isolarla il team ricerca di Ermes – Intelligent Web Protection, unica realtà italiana riconosciuta tra le top 100 mondiali nel panorama cybersecurity che, dopo averla identificata, ha notificato gli store coinvolti: più di 650 nuovi utenti al giorno le potenziali vittime. L’analisi che ha portato all’identificazione della campagna delle estensioni malevole ha originato il white paper “Hijacked on the web: The Growing Threat of Malicious browser extension” che passa in rassegna alcune delle minacce e degli attacchi specifici che possono derivare dall’uso di plug-in del browser infetti, una panoramica sul fenomeno e una soluzione al loro rilevamento precoce.
ATTACCHI HACKER ATTRAVERSO ESTENSIONI DEL BROWSER INFETTE
Uso crescente, difficoltà di individuazione di eventuali attacchi e controlli ancora troppo snelli da parte degli store sulle estensioni del browser, stanno alimentando la crescita di un fenomeno pericolosamente sottovalutato: l’hackeraggio attraverso l’installazione di plug-in. I rischi possibili? Truffe, furti di dati sensibili, minacce e ricatti.
Una volta installate, infatti, le estensioni infette possono fornire ai cyber criminali una visibilità completa della navigazione web dell’utente: ciò include informazioni sensibili come e-mail, credenziali e servizi web interni aziendali. Nella maggior parte dei casi, un plug-in malevolo può interferire con la navigazione dell’utente reindirizzandolo di nascosto ad altri siti web, contattando servizi remoti e intercettando comunicazioni private. Queste azioni criminali vengono ovviamente eseguite senza che l’utente si accorga di nulla.
164 «STRINGHE» PREDEFINITE
Nello specifico, il veicolo di attacco architettato per questa campagna è stato l’installazione di almeno 34 estensioni del browser disponibili sugli store Edge e Chrome: 18 nell’Edge Add-Ons Store e 16 nel Chrome Web Store. Nel mirino individui, imprese e organizzazioni. L’obiettivo? L’acquisizione di credenziali, di informazioni sensibili e di account, la manomissione dei social media e l’apertura di backdoor per il controllo dei dispositivi degli utenti. Il meccanismo del suo funzionamento era basato sul reindirizzamento del traffico a siti Web di distribuzione di phishing e malware. L’attacco seguiva un iter invariato:
- Installazione dell’estensione del browser
- Dirottamento su altri siti web pericolosi nel caso di connessioni web contenenti determinati parametri nella stringa/url
A monte, i criminali avevano selezionato un set di 164 stringhe predefinite, porzioni di testo tipicamente contenute negli indirizzi web riferiti, tra gli altri, a social media, servizi bancari, motori di ricerca e servizi di posta elettronica. Quando la URL conteneva una di queste stringhe, l’utente veniva automaticamente reindirizzato verso un sito web malevolo con lo scopo di acquisire credenziali, informazioni sensibili e account, manomettere i social media e indurre ad aprire backdoor con il rischio di incorrere in truffe e furti di dati sensibili.
ERMES INTELLIGENT WEB PROTECTION
«I ricercatori di Ermes – Intelligent Web Protection continuano a fare ricerca con l’obiettivo di identificare le minacce emergenti e fare in modo che le soluzioni ideate siano sempre all’avanguardia ed efficaci anche contro i rischi più insidiosi. Il nostro innovativo sistema di prevenzione e rilevamento in tempo reale, basato su algoritmi di intelligenza artificiale brevettati, infatti, è in grado di identificare e fornire una protezione completa contro le estensioni del browser dannose, ancora erroneamente sottovalutate», ha dichiarato Hassan Metwalley, CEO e Co-founder dell’impresa.
Ermes – Intelligent Web Protection nasce all’interno dell’incubatore I3P del Politecnico di Torino nel 2018 da un’idea di Hassan Metwalley: sviluppare un algoritmo di intelligenza artificiale per proteggere gli utenti dagli attacchi informatici, uno scudo evoluto capace di individuare sofisticati malware e minacce che sfuggono ai tradizionali sistemi di sicurezza.
Vincitrice del Primo Premio PNI CUBE 2017, oggi Ermes è l’unica eccellenza italiana selezionata da Garter nella top 100 mondiale delle realtà specializzate in AI Cybersecurity. Le soluzioni diversificate ideate da Ermes hanno protetto +30mila utenti bloccando oltre 360 miliardi di connessioni pericolose e eleggendo l’Italia a leader mondiale della sicurezza informatica.