Lunedi 06 Luglio 2026 06:55:09 GMT+02:00

Netcrook

HomeManifesto
News
Techcrook
Geocrook
WikicrookTeamAppContatti
ItalianoEnglishArabic

Cloud, SaaS & Identity Security

Dentro il colpo di stato delle estensioni Chrome: come falsi strumenti di produttività hanno dirottato account aziendali

Pubblicato: 19 Gennaio 2026 13:35Categoria: Cloud, SaaS & Identity SecurityAutore: NEURALSHIELD

Sottotitolo: Una campagna malware furtiva ha usato cinque estensioni Chrome per prendere il controllo di piattaforme HR ed ERP, aggirando le difese aziendali e bloccando la risposta agli incidenti alla fonte.

È iniziato con una promessa di produttività: estensioni Chrome che offrivano accesso semplificato e gestione multi-account per le piattaforme di business più critiche al mondo. Per oltre 2.300 utenti ignari, questi strumenti sono diventati l’equivalente digitale di un Cavallo di Troia. Sotto la superficie, si stava dispiegando un’operazione coordinata di cybercrime, che prendeva di mira il cuore pulsante delle operazioni aziendali: sistemi HR ed ERP come Workday, NetSuite e SAP SuccessFactors.

L’anatomia di un attacco coordinato

Quattro estensioni risultavano pubblicate dall’editore “databycloud1104”, con una quinta che usava un marchio diverso ma condivideva un’infrastruttura identica. Tutte erano abilmente camuffate da legittimi potenziatori di produttività, ciascuna richiedeva permessi standard di Chrome e vantava informative sulla privacy che dichiaravano falsamente “nessuna raccolta dati”.

In realtà, queste estensioni erano un toolkit malware progettato per compromettere ambienti enterprise. Il loro codice era in sviluppo attivo, con funzionalità come anti-debugging (per ostacolare gli analisti di sicurezza), manipolazione del DOM (per bloccare pagine amministrative e di sicurezza) e dirottamento persistente delle sessioni tramite complesse routine di furto e iniezione dei cookie.

Tre vettori d’attacco, un obiettivo: la presa di controllo

Le estensioni operavano in concerto attraverso tre principali tipologie di attacco:

  • Furto dei token di sessione: Ogni 60 secondi, le estensioni esfiltravano i cookie di autenticazione verso server remoti, assicurando agli attaccanti la possibilità di impadronirsi di qualsiasi sessione attiva-anche se gli utenti effettuavano nuovamente l’accesso.
  • Blocco dell’interfaccia amministrativa: Cancellando o reindirizzando i contenuti su pagine critiche per la sicurezza (come cambio password, configurazione 2FA e log di audit), il malware impediva agli amministratori di reagire alla violazione.
  • Dirottamento bidirezionale della sessione: L’estensione più avanzata, “Software Access”, poteva sia rubare sia iniettare cookie di sessione, consentendo ai criminali di bypassare completamente password e autenticazione a più fattori.

Per restare inosservato, il malware monitorava 23 estensioni di sicurezza popolari e segnalava la loro presenza ai propri server di comando. Alcune varianti disabilitavano persino gli strumenti per sviluppatori del browser, impedendo ai team di risposta agli incidenti di ispezionare o rimuovere codice malevolo.

Mettere fuori gioco i difensori

Forse l’aspetto più insidioso: il malware prendeva di mira gli ambienti sandbox-dove le aziende testano le modifiche di sicurezza-impedendo agli amministratori di validare le correzioni prima del rilascio. Questo costringeva le organizzazioni a un vicolo cieco: distribuire aggiornamenti di sicurezza non testati in produzione oppure lasciare i sistemi esposti.

La risposta agli incidenti standard veniva resa inutile. Reset delle credenziali, disattivazioni dei dispositivi e modifiche alle policy venivano tutti bloccati a livello di browser. Solo la rimozione completa delle estensioni-su tutti i dispositivi sincronizzati-poteva spezzare la presa degli attaccanti.

Cosa succede ora?

Sebbene siano state presentate richieste di rimozione a Google, l’infrastruttura e i metodi restano attivi, ed è probabile che emergano campagne simili. Per ora, le organizzazioni devono verificare l’uso delle estensioni, limitarne le installazioni e monitorare attività di sessione sospette-prima che colpisca la prossima ondata.

WIKICROOK

  • Dirottamento di sessione: Il dirottamento di sessione avviene quando un attaccante ruba o imita la sessione di un utente per ottenere accesso non autorizzato e agire online come quell’utente.
  • Manipolazione del DOM: La manipolazione del DOM modifica in tempo reale la struttura o il contenuto di una pagina web, spesso sfruttata dagli attaccanti per nascondere, alterare o iniettare informazioni malevole.
  • Anti: “Anti” si riferisce a metodi usati dal malware per evitare il rilevamento o l’analisi da parte di strumenti di sicurezza e ricercatori, rendendo le minacce più difficili da studiare o fermare.
  • Comando: Un comando è un’istruzione inviata a un dispositivo o a un software, spesso da un server C2, che lo dirige a eseguire azioni specifiche, talvolta per scopi malevoli.
  • MutationObserver: MutationObserver è un’API del browser che monitora le modifiche delle pagine web, spesso usata nella cybersecurity per rilevare o imporre cambiamenti persistenti nella struttura della pagina.

Con le estensioni del browser che diventano una nuova linea del fronte per gli attacchi alle aziende, la lezione è chiara: anche gli strumenti più fidati possono tradire quando la vigilanza cala. Nel gioco del gatto e del topo della difesa informatica, la prossima minaccia potrebbe essere già a un clic di distanza.