Security researchers at Microsoft hanno identificato una campagna che coinvolge estensioni di browser malevoli mascherate da assistenti di intelligenza artificiale per Google Chrome Microsoft Edge che raccolgono segretamente conversazioni di chat degli utenti e attività di navigazione. Secondo i risultati, le estensioni sono state installate da quasi 900.000 utenti.
Le estensioni venivano distribuite tramite il Chrome Web Store e si presentavano come strumenti legittimi di produttività progettati per migliorare la navigazione con funzionalità di intelligenza artificiale. In pratica, il software operava come spyware che raccoglieva informazioni sensibili dagli utenti che interagivano con servizi di IA online. I ricercatori hanno detto che gli strumenti raccoglievano conversazioni da piattaforme come ChatGPT e DeepSeek, insieme ai dati di navigazione del browser contaminato.
La campagna si basava su branding convincenti e descrizioni che imitavano estensioni autentiche con l’IA. Poiché gli add-on sembravano simili a strumenti di produttività ampiamente utilizzati, gli utenti li installavano tramite i normali marketplace di estensioni browser senza rendersi conto che fossero maliziosi. I ricercatori hanno anche osservato casi in cui gli agenti del browser automatico scaricavano automaticamente le estensioni perché le inserzioni sembravano affidabili.
Una volta installate, le estensioni si comportavano come i normali componenti aggiuntivi del browser. Hanno richiesto permessi che permettessero loro di leggere i contenuti sui siti web e monitorare l’attività degli utenti. Gli specialisti della sicurezza affermano che tali permessi sono comuni per le estensioni del browser, il che rende difficili rilevare versioni dannose durante l’installazione.
Lo spyware ha raccolto dati localmente sul dispositivo infetto prima di trasferirli all’infrastruttura controllata dagli attaccanti. Secondo l’analisi, le informazioni venivano periodicamente trasmesse a server remoti, permettendo agli operatori di mantenere una visibilità continua dell’attività di navigazione e delle interazioni con i servizi di IA.
I ricercatori hanno detto che le estensioni sono attive in più di 20.000 ambienti aziendali, indicando che la campagna potrebbe aver esposto informazioni aziendali oltre a dati personali. Le conversazioni con sistemi di IA spesso contengono materiale sensibile come codice proprietario, discussioni interne aziendali o informazioni personali. L’accesso a tali dati potrebbe permettere agli aggressori di condurre spionaggio aziendale, furto d’identità o campagne di phishing mirate.
Le estensioni per browser rappresentano una preoccupazione crescente per la sicurezza perché sono ampiamente affidabili e facili da installare. Una volta aggiunti a un browser, possono ottenere un ampio accesso ai contenuti delle pagine e all’attività degli utenti. I ricercatori di sicurezza notano che questo livello di accesso crea una potenziale superficie di attacco se le estensioni vengono compromesse o progettate intenzionalmente per raccogliere dati.
La scoperta evidenzia i rischi di installare componenti aggiuntivi per browser che si propongono di migliorare gli strumenti di IA o di integrare chatbot nella navigazione web. Gli esperti di sicurezza raccomandano alle organizzazioni di monitorare l’uso delle estensioni negli ambienti aziendali e di limitare le installazioni a sviluppatori affidabili. Consigliano inoltre agli utenti di rivedere regolarmente le estensioni installate e rimuovere qualsiasi strumento che sia sconosciuto o inutile.
La campagna dimostra come attori malintenzionati possano utilizzare canali di distribuzione legittimi e un branding familiare per diffondere spyware. Incorporando funzioni di raccolta dati all’interno di strumenti di IA apparentemente utili, gli attaccanti possono raccogliere informazioni da un gran numero di utenti senza sfruttare le vulnerabilità software tradizionali.