260.000 utenti di Chrome ingannati da spietate estensioni di intelligenza artificiale fasulle

Decine di migliaia di persone hanno scaricato per i loro browser quelli che ritenevano utili strumenti di intelligenza artificiale, solo per dare agli hacker un accesso diretto alle loro attività online più private, tra cui le e-mail.

Secondo LayerX, oltre 260.000 utenti di Chrome hanno installato almeno 30 estensioni dannose per il browser, spacciandosi per strumenti di intelligenza artificiale. Queste funzionalità, come il supporto tramite chat, la creazione di bozze di email e i riepiloghi dei contenuti, in realtà stavano silenziosamente sottraendo dati in background.

Nome AI affidabileutilizzatocome copertura

Il tempismo non è stato casuale. Con l'entusiasmo crescente delle persone nell'adottare strumenti di intelligenza artificiale sia per uso lavorativo che personale, gli aggressori hanno sfruttato quell'entusiasmo per passare inosservati. Le estensioni fasulle sostenevano di avere legami con noti servizi di intelligenza artificiale come ChatGPT, Claude, Gemini e Grok, marchi che ispirano riconoscimento e fiducia immediati.

Sebbene avessero nomi diversi, loghi diversi e descrizioni distinte, tutte e 30 le estensioni erano fondamentalmentedentsotto la superficie. Eseguivano lo stesso codice sottostante, richiedevano le stesse ampie autorizzazioni e incanalavano i dati verso gli stessi server nascosti.

I ricercatori di LayerX hanno descritto l'approccio come "spruzzo di estensioni", inondando il Chrome Web Store con varianti quasidentper eludere il rilevamento e la rimozione da parte dei moderatori. La strategia ha dato i suoi frutti: diverse estensioni hanno persino ottenuto la posizione di "in evidenza", aumentando la loro apparente legittimità e contribuendo ad aumentare il numero di installazioni.

Ciò che rendeva queste estensioni particolarmente insidiose era il loro metodo di funzionamento. Invece di eseguire una vera e propria elaborazione di intelligenza artificiale localmente sul dispositivo dell'utente, estraevano sovrapposizioni nascoste a schermo intero ospitate su server controllati dagli aggressori, tra cui un dominio confermato, tapnetic.pro.

Questa configurazione consentiva agli operatori di modificare il comportamento dell'estensione al volo, senza mai inviare aggiornamenti tramite il processo di revisione di Google. Gli utenti non avevano modo di individuare i cambiamenti.

Una volta attive, le estensioni potrebberotractesto, titoli di pagina e altri elementi da qualsiasi sito visitato da una persona, comprese le pagine protette che richiedevano l'accesso, come i portali aziendali o gli account personali, e inoltrare tutto a server remoti.

Gli utenti di Gmail nel mirino

Quindici delle 30 estensioni pensate per di Gmail . LayerX ha soprannominato questo gruppo"cluster di integrazione Gmail". Commercializzate con nomi diversi e proposte per usi differenti, tutte e 15condividevanolo stesso identico codice mirato a Gmail. Iniettavano script direttamente nell'interfaccia di Gmail, acquisendo ripetutamente il testo di tutte le conversazioni aperte visibili sullo schermo.

In termini più semplici, l'intero contenuto delle email, comprese le bozze e le conversazioni complete, poteva essere prelevato da Gmail e inviato ai server degli aggressori. Il rapporto aggiungeva che l'utilizzo degli strumenti di intelligenza artificiale integrati in Gmail, come le risposte intelligenti o i riepiloghi dei messaggi, a volte innescava un prelievo di contenuti ancora maggiore, inviandoli al di fuori dell'ecosistema di Google.

Ciòrientrain un modello più ampio e in peggioramento. LayerX ha sottolineato che solo un mese prima aveva esposto altre 16 estensioni progettate per rubare token di sessione dagli ChatGPT , con un impatto su oltre 900.000 utenti. In un altro caso, due estensioni della barra laterale basate sull'intelligenza artificiale hanno fatto trapelare le cronologie delle chat di DeepSeek e ChatGPT, influenzando altre 900.000 installazioni.

Considerando che Chrome vanta circa 3 miliardi di utenti in tutto il mondo e Gmail ne serve 2 miliardi, l'ecosistema di estensioni del browser rappresenta un obiettivo particolarmente allettante per questo tipo di operazioni.

Chiunque tema di essere stato colpito da un'estensione dannosa può consultare l'elenco pubblicato da LayerX. È sufficiente accedere a "chrome://extensions" nel browser per esaminare gli elementi installati e disinstallare quelli sospetti. intelligente da adottare ora è quella di attivare la verifica in due passaggi per i propri accountprecauzione.

Zargarov ha lanciato un avvertimento senza mezzi termini: "Con la crescente popolarità dell'IA generativa, i difensori dovrebbero aspettarsi una proliferazione di campagne simili". Gli esperti di sicurezza sottolineano che la strada più sicura è affidarsi alle funzionalità di IA già integrate in app e piattaforme affidabili, piuttosto che rischiare con estensioni di terze parti sconosciute.