Rubata l’estensione per browser Copyfish, con l’intento di distribuire montagne di spam

Secondo quanto ha dichiarato domenica scorsa A9t9 Software, lo sviluppatore dell’applicazione, l’operazione di hijacking condotta dai cybercriminali ha riguardato esclusivamente l’estensione per Google Chrome. L’altra versione di Copyfish, ovvero l’estensione OCR per il browser Firefox, non è stata colpita. Tramite un blog post pubblicato lunedì scorso, la società ha comunicato che il problema ha avuto inizio nel pomeriggio di venerdì 28 luglio, quando la software house tedesca ha ricevuto un’e-mail proveniente (in apparenza!) da Google, in cui si avvisava che l’app maker avrebbe dovuto aggiornare la propria applicazione Copyfish, altrimenti quest’ultima sarebbe stata rimossa dal noto negozio online Google Play. Nella notifica si leggeva:

“La vostra app per Google Chrome, ‘Copyfish Free OCR Software’, con ID: [omesso] non è risultata conforme alle nostre policy relative ai programmi, e sarà pertanto rimossa da Google Chrome Web Store se non provvederete a risolvere il problema. Per avere maggiori informazioni, si prega di effettuare l’accesso al vostro account di sviluppatore [link omesso]”.

Successivamente, un membro del team, senza sospettare nulla, ha cliccato sul link malevolo, ed ha così aperto una finestra di dialogo popup di “Google”, per l’immissione della password. “Sfortunatamente, un membro del nostro team ha inserito la password relativa al nostro account di sviluppatori”, è stato precisato nell’apposita nota pubblicata dalla società A9t9 Software.

Ne è conseguito che il giorno successivo, sabato 29 luglio, l’estensione Copyfish per Google Chrome veniva automaticamente aggiornata ad una versione malevola del software in questione (v. 2.8.5), su un numero imprecisato di browser web. Il giorno seguente, poi, gli sviluppatori di Copyfish rilevavano che la nuova versione dell’estensione aveva iniziato ad inserire pubblicità e spam sui siti web.

“Abbiamo notato noi stessi l’effetto prodotto, visto che, ovviamente, abbiamo in esecuzione Copyfish sulle nostre macchine. È occorso tuttavia un po’ di tempo prima che potessimo renderci conto che era proprio la nostra estensione a causare la comparsa delle finestre adware”, ha precisato la società tedesca nel post pubblicato all’interno del proprio blog.

La situazione, poi, è ulteriormente peggiorata, ha sottolineato la software house.

“Abbiamo effettuato l’accesso al nostro account di sviluppatore e… ci ha accolto davvero una bella sorpresa! Copyfish, la nostra estensione, era sparita! Sembra proprio che qualche hacker/ladro/idiota abbia trasferito l’applicazione nel SUO account di sviluppatore. Al momento attuale, non abbiamo alcun accesso a Copyfish!”, ha aggiunto la società.

Secondo quanto asserisce A9t9, la software house ha perso il controllo dell’estensione per Google Chrome, e non è nemmeno più in grado di poter disattivare la stessa sui browser Chrome compromessi. “Per il momento, l’update sembra essere un’operazione di hacking standard, con finalità di adware, ma, visto che non abbiamo tuttora alcun controllo su Copyfish, i ladri potrebbero persino aggiornare l’estensione ancora una volta… finché non riusciremo a rientrarne in possesso. E non possiamo nemmeno disattivarla, visto che non si trova più nel nostro account di sviluppatori”.

Lunedì scorso, 31 luglio, un utente di Copyfish, con un post pubblicato su Hacker News, faceva notare come gli hacker che avevano assunto il controllo di Copyfish utilizzassero UNPKG.com e Node Package Manager per distribuire l’adware in forma di estensione per Chrome.

“Mi sono rivolto ad entrambi i servizi, per far sì che venisse disabilitato. Spero proprio che questo possa mettere il “badware” fuori gioco, almeno temporaneamente,” ha scritto “il buon cyber-samaritano” sul sito di HackerOne.

Questo, per il momento, ha bloccato la diffusione dell’adware, secondo gli sviluppatori di Copyfish. “Il problema è che non abbiamo ancora alcun controllo su Copyfish; è quindi possibile che i ladri aggiornino l’estensione ancora una volta”, ha sottolineato A9t9 Software.

La società ha inoltre dichiarato di essere attualmente all’opera, assieme al servizio di supporto per gli sviluppatori Google, per fornire il proprio contributo nel coordinare una soluzione al problema. Non è purtroppo disponibile nessun’altra informazione in merito.

Con “il senno di poi”, A9t9 Software ha riconosciuto come vi fossero stati, ad ogni caso, alcuni piccoli, ma chiari e significativi indizi, i quali avrebbero dovuto far subito comprendere, ad uno sviluppatore, che, nella circostanza, stava accadendo qualcosa di strano, qualcosa di decisamente sospetto. Tanto per cominciare, la falsa e-mail proveniente da Google Tech Support, con cui si richiedeva inizialmente a A9t9 Software di aggiornare la propria applicazione Copyfish, aveva spinto il tecnico rimasto vittima del tentativo di phishing a recarsi su una versione gratuita di Freshdesk, nota piattaforma adibita a fornire assistenza online ai clienti.

“Mi ricordo di aver pensato: ‘Google, quindi, utilizza Freshdesk? Interessante…’,” ha rimarcato l’autore del blog post pubblicato da A9t9 Software riguardo al grande pasticcio che si è verificato con l’hijacking dell’estensione in causa.

Altro elemento di fondamentale importanza, anch’esso, purtroppo, sfuggito di vista, è il fatto che l’e-mail di phishing utilizzava un link Bitly non immediatamente visibile per il destinatario del messaggio di posta elettronica, poiché l’e-mail era, di fatto, in formato HTML. “Abbiamo così imparato un’altra lezione: meglio tornare, di default, alle e-mail standard, di solo testo”, ha voluto infine sottolineare la software house nel proprio blog post.

Fonte: Threatpost

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *