A partire dalla mattina del 24 dicembre, mentre tutti ci apprestavamo a trascorrere uno dei giorni di Natale più strani e più online di sempre, l’antivirus dell’azienda russa ha intercettato milioni di chiamate verso un server per cercare di scaricare del codice pericoloso. Di conseguenza sono state inviate una marea di segnalazioni agli utenti ma anche alla casa madre, dove gli esperti hanno iniziato a indagare su cosa stesse succedendo. E, in breve tempo, lo hanno scoperto: una ventina di estensioni di Chrome/Edge si erano improvvisamente attivate in giro per il mondo e avevano iniziato a connettersi a quel server. Tutte insieme, senza apparente motivo.
Quali sono le estensioni infette da rimuovere
Kaspersky ha segnalato a Google tutte le estensioni pericolose, ma ha preferito rivelare al pubblico solo il nome di tre di esse. Le più famose: Frigate Light, Frigate CDN e SaveFrom. Specialmente l’ultima è diffusa anche in Italia, perché permette a chi la installa di scaricare video dalle piattaforme di streaming come YouTube e Vimeo, ma anche da Facebook, Twitter e molti altri siti.https://w.theoutplay.com/5.0.177/frame.html
In totale le oltre 20 estensioni infette sono state scaricate più di 8 milioni di volte. Poiché si sono attivate tutte insieme c’è stato un boom di segnalazioni da parte del tool di rilevamento delle minacce, che ha permesso di individuare molto velocemente l’origine del problema.
Perché le estensioni sono pericolose
Tutte le estensioni sono risultate infette da un membro della famiglia di virus Trojan.Multi.Preqw.gen. Si tratta di un virus che, nel caso specifico, ha lo scopo di generare traffico fasullo verso alcuni video per truffare i circuiti pubblicitari.
Gli utenti non vedono nulla, perché il player viene eseguito in background, ma il computer e la connessione a Internet vengono rallentati a causa del traffico anomalo generato dal malware. La furbata degli hacker è stata quella di lanciare questa campagna a Natale, quando molti più utenti sono a casa con il computer acceso.
In questo modo potevano generare molte più visualizzazioni false e, allo stesso tempo, gli utenti avrebbero pensato che il rallentamento della connessione era dovuta all’elevato traffico delle feste.
Cosa fare se si usano queste estensioni
E’ probabile che gli sviluppatori di queste estensioni non siano neanche a conoscenza di cosa stanno facendo i loro software in questo momento: non è raro che gli hacker usino estensioni sviluppate da qualcun altro, infettandole, per i propri scopi.
Nel frattempo, però, cosa devono fare gli utenti? Chi ha un buon antivirus molto probabilmente sarà già stato avvertito che qualcosa non va e, altrettanto probabilmente, l’estensione sarà stata disattivata in automatico. Chi invece usa queste estensioni ma non ha alcuna protezione farebbe bene a disinstallarle anche perché non è affatto da escludere che vengano usate, in futuro, per scaricare ed eseguire codice ben più pericoloso.
Hacker e cybercriminali sono dei gran lavoratori e non si fermano neanche a Natale, costringendo le aziende di cybersicurezza a fare gli straordinari. Succede, così, che i tool di rilevamento delle minacce informatiche inizino a bombardare gli utenti (e le società che li hanno sviluppati) di avvisi di sicurezza. Che cosa è successo? Ce lo spiega Kaspersky Lab.
A partire dalla mattina del 24 dicembre, mentre tutti ci apprestavamo a trascorrere uno dei giorni di Natale più strani e più online di sempre, l’antivirus dell’azienda russa ha intercettato milioni di chiamate verso un server per cercare di scaricare del codice pericoloso. Di conseguenza sono state inviate una marea di segnalazioni agli utenti ma anche alla casa madre, dove gli esperti hanno iniziato a indagare su cosa stesse succedendo. E, in breve tempo, lo hanno scoperto: una ventina di estensioni di Chrome/Edge si erano improvvisamente attivate in giro per il mondo e avevano iniziato a connettersi a quel server. Tutte insieme, senza apparente motivo.
Quali sono le estensioni infette da rimuovere
Kaspersky ha segnalato a Google tutte le estensioni pericolose, ma ha preferito rivelare al pubblico solo il nome di tre di esse. Le più famose: Frigate Light, Frigate CDN e SaveFrom. Specialmente l’ultima è diffusa anche in Italia, perché permette a chi la installa di scaricare video dalle piattaforme di streaming come YouTube e Vimeo, ma anche da Facebook, Twitter e molti altri siti.
In totale le oltre 20 estensioni infette sono state scaricate più di 8 milioni di volte. Poiché si sono attivate tutte insieme c’è stato un boom di segnalazioni da parte del tool di rilevamento delle minacce, che ha permesso di individuare molto velocemente l’origine del problema.
Perché le estensioni sono pericolose
Tutte le estensioni sono risultate infette da un membro della famiglia di virus Trojan.Multi.Preqw.gen. Si tratta di un virus che, nel caso specifico, ha lo scopo di generare traffico fasullo verso alcuni video per truffare i circuiti pubblicitari.
Gli utenti non vedono nulla, perché il player viene eseguito in background, ma il computer e la connessione a Internet vengono rallentati a causa del traffico anomalo generato dal malware. La furbata degli hacker è stata quella di lanciare questa campagna a Natale, quando molti più utenti sono a casa con il computer acceso.
In questo modo potevano generare molte più visualizzazioni false e, allo stesso tempo, gli utenti avrebbero pensato che il rallentamento della connessione era dovuta all’elevato traffico delle feste.
Cosa fare se si usano queste estensioni
E’ probabile che gli sviluppatori di queste estensioni non siano neanche a conoscenza di cosa stanno facendo i loro software in questo momento: non è aro che gli hacker usino estensioni sviluppate da qualcun altro, infettandole, per i propri scopi.
Nel frattempo, però, cosa devono fare gli utenti? Chi ha un buon antivirus molto probabilmente sarà già stato avvertito che qualcosa non va e, altrettanto probabilmente, l’estensione sarà stata disattivata in automatico. Chi invece usa queste estensioni ma non ha alcuna protezione farebbe bene a disinstallarle anche perché non è affatto da escludere che vengano usate, in futuro, per scaricare ed eseguire codice ben più pericoloso.