Il ricercatore Pieter Arntz ha scoperto per Malwarebytes un paio di estensioni che possono compromettere il corretto funzionamento di Chrome e Firefox, due dei browser web più diffusi al mondo. Nel caso di Chrome è presente del codice malevolo che consente la visualizzazione di campagne di supporto tecnico fraudolente e danno la possibilità agli aggressori di spiare le attività di navigazione dell'utente del sistema infetto.

L'estensione malevola capace di colpire Chrome è "Tiempo en colombia en vivo", e può essere installata sui sistemi con la navigazione verso alcuni siti web. Se si cerca di lasciare questi siti vengono aperte diverse finestre in loop fino a quando non si accetta di installare l'estensione. Se si seleziona l'opzione per impedire alla pagina di creare altri pop-up, inoltre, la pagina viene visualizzata a schermo intero offrendo la finestra di dialogo per aggiungere l'estensione.

Una volta installata, quest'ultima può manomettere le ricerche del browser e direzionarle verso determinate pagine web o video YouTube in modo da aumentare in maniera illegittima il traffico. L'estensione è inoltre progettata per renderne difficile la rimozione: se l'utente cerca di accedere alla pagina "chrome://extensions/", dove si possono gestire le estensioni installate, il browser effettuerà un redirect alla pagina "chrome://apps?r=extensions".

Quest'ultima non è altro che una semplice lista delle varie app ed estensioni installate su Chrome, con la voce per la rimozione delle stesse che non risulta visibile. Ci sono diverse procedure per risolvere il problema, ma troppo farraginose per l'utente meno esperto. Fra queste installare un programma anti-malware (Malwarebytes suggerisce il proprio tool, ovviamente) o rinominare il file JavaScript '1499654451774.js' presente nella cartalla in cui viene installata l'estensione.

In questo modo è possibile ripristinare lo stato normale di Chrome e cancellare l'estensione malevola con la procedura tradizionale. La segnalazione di Arntz a Google è stata fatta circa tre settimane fa, ma l'estensione che è stata rimossa solo lo scorso venerdì dallo store. La possibilità di infezione comunque resta, così come i computer già infetti. Ricordiamo infine che la scorsa settimana Google ha rimosso 4 estensioni che erano state installate su 500 mila sistemi.

Un'estensione simile è disponibile anche su Firefox. In questo caso l'utente può installarla attraverso dei banner che propongono l'aggiornamento "manuale" per il browser e la procedura di rimozione viene anche qui ostacolata impedendo l'accesso alla pagina "about:addons". Per aggirare la strategia su Firefox è sufficiente avviare il browser in Modalità provvisoria (lasciando premuto il tasto Shift quando si esegue), che consente di lanciare il software senza alcuna estensione.