18 estensioni AI si spacciano per produttività ma nascondono RAT, MitM e ladri
Unit 42 identifica 18 estensioni browser AI malevole che sorvegliano email, rubano prompt e compromettono sessioni tramite RAT e MitM con permessi abusivi.
Contenuto
In un nuovo report tecnico pubblicato il 30 aprile 2026, Unit 42 di Palo Alto Networks ha identificato un gruppo di 18 estensioni browser AI ad alto rischio. Questi software, attivi fino alla fine di aprile 2026, promettono funzionalità avanzate di produttività basate su intelligenza artificiale generativa per attirare gli utenti. L'impatto tecnico è significativo: le 18 varianti coprono 6 categorie di malware distinte, capaci di esfiltrare dati sensibili in tempo reale durante la navigazione.
Sotto una facciata di utilità, queste estensioni nascondono capacità malevole estremamente pericolose. Gli esperti hanno rilevato come tali strumenti instaurino canali di comando e controllo (C2) persistenti e sorveglino le comunicazioni private. La minaccia si estende alla capacità di trafugare dati sensibili direttamente dal Document Object Model (DOM) del browser, colpendo specificamente le email degli utenti durante la loro fase di composizione.
La campagna analizzata sfrutta la crescente fiducia verso i tool di intelligenza artificiale. Tuttavia, il rischio reale è circoscritto a queste 18 varianti che richiedono permessi eccessivi per operare come vettori d'attacco client-side. Queste estensioni riescono a bypassare i controlli di rete, agendo direttamente dove i dati vengono decifrati per la visualizzazione dell'utente, rendendo inefficaci le protezioni perimetrali standard.
- Classificazione malware: Unit 42 ha suddiviso le 18 estensioni in 6 categorie di malware distinte, tra cui Remote Access Trojans (RAT), Meddler-in-the-Middle (MitM) e infostealer.
- Controllo remoto via WebSocket: L'estensione Chrome MCP Server instaura un canale C2 persistente verso
wss://mcp-browser.qubecare.ai/chromee può eseguire oltre 30 comandi remoti. - Sorveglianza delle email: Il campione Supersonic AI opera come Adversary in the Browser (AitB), estraendo dati sensibili dalle email e dai campi di input durante la digitazione.
- Utilizzo di LLM per il malware: I campioni analizzati contengono codice generato da intelligenza artificiale, indicando che gli attori della minaccia usano i Large Language Models per accelerare la produzione.
Il marketing ingannevole e l'abuso dei permessi browser
Le estensioni identificate venivano distribuite ufficialmente sul Chrome Web Store utilizzando descrizioni studiate per rassicurare il pubblico. Un esempio emblematico citato nel report riportava il claim: "100% local processing - your data never leaves your browser". L'analisi tecnica condotta da Unit 42 ha smentito categoricamente queste affermazioni, rivelando un'attività di esfiltrazione costante verso server remoti controllati dagli attaccanti.
Per funzionare secondo le loro false promesse, questi software richiedevano privilegi di sistema estremi. Tra questi figuravano l'accesso a tutti i dati sui siti web visitati (<all_urls>), l'attivazione del debugger di Chrome e la capacità di eseguire scripting arbitrario. Questi permessi concedono all'estensione poteri quasi illimitati sulla sessione di navigazione dell'utente, permettendo la manipolazione delle pagine web in tempo reale.
Il sistema dei permessi, se non monitorato, consente a queste 18 varianti malevole di operare indisturbate dietro una facciata di utilità professionale. Gli utenti, concedendo tali autorizzazioni, permettono involontariamente ai malware di leggere risposte HTTPS già decifrate. Questa dinamica trasforma uno strumento di produttività in un punto di osservazione privilegiato per il furto di identità e di credenziali bancarie.
"We found 18 AI browser extensions marketed as productivity tools that are not as they seem." — Palo Alto Networks Unit 42 (Report aprile 2026)
Analisi tecnica: Chrome MCP Server e il canale C2
L'estensione identificata con l'ID fpeabamapgecnidibdmjoepaiehokgda, denominata Chrome MCP Server - AI Browser Control, rappresenta uno dei casi più critici. Il suo codice sorgente include una connessione WebSocket hardcoded verso l'indirizzo wss://mcp-browser.qubecare.ai/chrome. Tale connessione dispone di meccanismi di riconnessione automatica, garantendo all'attaccante una persistenza che sopravvive ai riavvii del browser o della sessione.
Attraverso questo canale WebSocket, il server di comando e controllo (C2) può inviare oltre 30 comandi operativi differenti. Tra i più pericolosi è stato identificato handleExecuteScript. Questa funzione riceve stringhe di codice JavaScript dal server remoto e le esegue tramite il pattern new Function() nel contesto della tab attiva, dove l'utente è già autenticato.
Questa specifica tecnica permette l'esecuzione di codice arbitrario mentre l'utente interagisce con servizi critici come banche o webmail. L'attaccante può interagire con gli account sfruttando cookie e token di sessione validi senza dover rubare le password iniziali. Operando all'interno del browser, l'azione malevola appare come traffico legittimo, rendendo difficile la distinzione tra l'attività dell'utente e quella del malware.
Inoltre, l'estensione può agganciarsi al Chrome Debugger Protocol. Questa funzionalità viene abusata per ispezionare il traffico di rete e leggere i dati sensibili scambiati via HTTPS prima della loro visualizzazione. Tale metodo rende di fatto inutile la cifratura del trasporto (TLS), poiché i dati vengono catturati nel punto in cui il browser li ha già resi in chiaro per l'utente.
Supersonic AI e la sorveglianza passiva del DOM
Un approccio differente è adottato dall'estensione Supersonic AI, identificata con l'ID eebihieclccoidddmjcencomodomdoei. Invece di agire come un RAT aggressivo, questo software si comporta come un Adversary in the Browser (AitB) focalizzato sull'esfiltrazione silenziosa. Unit 42 descrive il suo comportamento come una forma di sorveglianza passiva mirata ai contenuti generati dall'utente.
Come riportato ufficialmente, tra le 18 minacce ve n'è "One that surveils your emails as you compose them". Questa capacità è resa possibile dall'osservazione del Document Object Model (DOM), la struttura della pagina web renderizzata. Leggendo direttamente i campi di input nel DOM, l'estensione cattura testo, destinatari e allegati in tempo reale, prima che l'email venga effettivamente inviata al server legittimo.
Il furto dei prompt inviati ad altre piattaforme di intelligenza artificiale è un altro obiettivo documentato. Poiché molti utenti inseriscono dati aziendali riservati nei chatbot AI, queste estensioni intercettano tali informazioni alla fonte. I dati vengono esfiltrati prima ancora di raggiungere i server della piattaforma AI desiderata, esponendo segreti industriali e dati personali sensibili memorizzati temporaneamente nel browser.
Codice generato da AI per colpire gli utenti
L'analisi condotta da Unit 42 ha rivelato che molti dei campioni analizzati tra le 18 estensioni contenevano codice palesemente generato da modelli linguistici (LLM). Gli attori della minaccia stanno utilizzando gli stessi strumenti di intelligenza artificiale per accelerare la scrittura di malware. Questo permette di produrre varianti malevole più rapidamente rispetto ai metodi di sviluppo manuali tradizionali.
Sebbene la responsabilità dell'attacco rimanga umana, l'impiego dell'IA funge da moltiplicatore di produttività per i criminali informatici. Questo consente di popolare gli store ufficiali con strumenti che imitano perfettamente le estensioni legittime. Unit 42 ha prontamente segnalato tutte le 18 estensioni a Google, che ha risposto rimuovendo alcuni campioni o inviando avvisi per violazione delle policy di sicurezza.
Cosa fare adesso
Per mitigare il rischio derivante da queste 18 estensioni e da futuri software simili, è necessario adottare misure di sicurezza granulari focalizzate sul controllo locale del browser.
- Audit immediato delle estensioni: Verificare la presenza degli ID segnalati nel report, come
fpeabamapgecnidibdmjoepaiehokgdaeeebihieclccoidddmjcencomodomdoei, rimuovendoli immediatamente se identificati nel sistema. - Limitazione rigida dei permessi: Configurare l'accesso delle estensioni "su siti specifici" anziché "su tutti i siti". Questo impedisce tecnicamente a un tool di leggere i dati su schede sensibili come banking o email aziendali se non esplicitamente autorizzato.
- Policy aziendali di Allow-listing: Le organizzazioni devono implementare policy di gruppo per bloccare l'installazione di qualsiasi estensione non preventivamente approvata. Ogni strumento AI deve superare una revisione di sicurezza interna prima della distribuzione.
- Monitoraggio del Debugger Protocol: Verificare se le estensioni installate richiedono il permesso di debugging. Questo privilegio è un segnale di allerta critico che dovrebbe essere concesso solo in ambienti di sviluppo isolati.
Perché è importante
L'identificazione di queste 18 estensioni evidenzia una vulnerabilità strutturale nell'ecosistema dei browser. Sebbene Google intervenga per rimuovere i campioni dopo la segnalazione, la latenza tra la pubblicazione e l'identificazione crea una finestra di esposizione critica. Il fatto che operino dopo la terminazione del protocollo TLS significa che i dati sono vulnerabili indipendentemente dalla sicurezza della connessione di rete.
Per le aziende, il rischio principale è la fuga di dati non strutturati come email e prompt AI, che vengono sottratti interamente all'interno del browser. La protezione del perimetro digitale deve quindi evolvere verso l'ispezione locale delle estensioni. Il rispetto del principio del minimo privilegio rimane la difesa più efficace contro attori che automatizzano la creazione di malware tramite intelligenza artificiale.
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.