L’entusiasmo globale per l’intelligenza artificiale ha creato un terreno fertile per nuove minacce informatiche, spingendo centinaia di migliaia di utenti a scaricare strumenti che promettono di migliorare la produttività ma che, nella realtà, operano come sofisticati strumenti di spionaggio.
Una recente indagine condotta dai ricercatori di sicurezza di LayerX ha portato alla luce una vasta operazione denominata “AiFrame“, la quale coinvolge circa trenta estensioni per il browser Google Chrome.
Questi componenti aggiuntivi, mascherati da assistenti virtuali e traduttori basati su GPT o Gemini, sono stati progettati per sottrarre credenziali, leggere il contenuto delle comunicazioni personali e monitorare le attività di navigazione.
Nonostante alcune di queste applicazioni siano state rimosse dal Chrome Web Store, molte potrebbero essere ancora presenti sui dispositivi o risultare accessibili tramite repository online.
È fondamentale verificare immediatamente se nel proprio browser è installato uno dei seguenti componenti, identificati da BleepingComputer e LayerX con i relativi codici identificativi e il numero approssimativo di utenti colpiti:
È bene notare che i nomi possono subire leggere variazioni, ma la struttura interna e le finalità illecite rimangono identiche per tutte le varianti coinvolte nella campagna.
L’analisi ha rivelato che tutte le estensioni condividono la stessa logica JavaScript e comunicano con un’unica infrastruttura backend facente capo al dominio “tapnetic.pro“.
Il metodo utilizzato per eludere i controlli di sicurezza è particolarmente insidioso. Questi add-on non implementano le funzionalità di intelligenza artificiale localmente. Al contrario, generano una finestra a schermo intero (iframe) che carica i contenuti direttamente dal dominio remoto controllato dagli attaccanti.
Questa strategia consente ai criminali informatici di modificare il comportamento dell’estensione in qualsiasi momento, aggiungendo funzioni malevole senza dover rilasciare un aggiornamento ufficiale che richiederebbe una nuova revisione da parte di Google.
L’aspetto più critico emerso dal report riguarda l’attività specifica su Gmail. Circa la metà delle estensioni censite include script dedicati che si attivano non appena l’utente accede alla propria casella di posta elettronica (mail.google.com).
Utilizzando librerie per l’estrazione del testo, il software è in grado di leggere e copiare il contenuto delle email visibili, incluse le bozze non ancora inviate. Quando l’utente richiede un riepilogo o una risposta assistita dall’IA, i dati vengono trasmessi ai server esterni, uscendo definitivamente dal perimetro di sicurezza dell’account Google.
In alcuni casi, sfruttando le API Web Speech, le estensioni possono persino attivare il microfono per trascrivere e inviare conversazioni ambientali.
Di fronte a tali evidenze, la raccomandazione è solo una: rimuovere immediatamente qualsiasi estensione presente nella lista o di dubbia provenienza e procedere al cambio delle password per tutti gli account sensibili utilizzati durante il periodo di infezione.
Il mercato dei tablet ha vissuto anni di stasi, con dispositivi spesso relegati al ruolo…
Ultimo aggiornamento: 2 marzo – Come ogni interfaccia proprietaria che si rispetti, anche HyperOS (e…
La tecnologia delle batterie sta facendo passi da gigante: i produttori cinesi hanno spinto sull'acceleratore,…
Il MWC di Barcellona ha segnato anche il debutto dei nuovi flagship del produttore cinese:…
Ultimo aggiornamento: 2 marzo – Con l'evoluzione costante della tecnologia e la crescente preoccupazione per…
Ultimo aggiornamento: 2 marzo – Avete uno smartphone o un tablet Xiaomi, Redmi o POCO…