18 estensioni AI spiano email: l'analisi tecnica di Unit 42
Palo Alto Networks Unit 42 ha identificato 18 estensioni AI per browser che distribuiscono RAT e monitorano le email tramite osservazione passiva del DOM.
Contenuto
Palo Alto Networks Unit 42 ha recentemente identificato 18 estensioni AI per browser, presentate come strumenti di produttività, che operano invece per distribuire Remote Access Trojan (RAT), eseguire attacchi Man-in-the-Middle (MitM) e agire come infostealer. L'indagine evidenzia come almeno una di queste estensioni sia in grado di sorvegliare le email durante la loro composizione attraverso un'osservazione passiva del Document Object Model (DOM). Il caso solleva criticità sul perimetro di sicurezza del browser, dove gli utenti concedono permessi elevati a codice apparentemente innocuo.
- Identificazione di 18 estensioni AI ad alto rischio con capacità di RAT, MitM ed esfiltrazione dati tramite DOM.
- L'estensione Chrome MCP Server conteneva un RAT con canale di comando e controllo (C2) WebSocket verso un dominio esterno.
- Supersonic AI utilizzava la tecnica Adversary in the Browser (AitB) per leggere dati sensibili direttamente dal DOM renderizzato.
- Rilevato l'uso di codice generato da Large Language Models (LLM) per accelerare la produzione del malware analizzato.
- Google è intervenuta sulle 18 estensioni segnalate, rimuovendole o inviando avvertimenti ai proprietari.
Il caso Chrome MCP Server e il falso "100% locale"
Tra le 18 estensioni analizzate da Unit 42, Chrome MCP Server rappresenta un esempio emblematico di inganno tecnologico. Nel listing ufficiale del Chrome Web Store, l'estensione dichiarava esplicitamente: "100% local processing - your data never leaves your browser". Questa promessa di privacy totale serviva a rassicurare l'utente mentre, a livello di codice, veniva stabilita una connessione WebSocket hardcoded verso l'indirizzo wss://mcp-browser.qubecare.ai/chrome. Questo canale C2 trasformava lo strumento in un terminale di accesso remoto non autorizzato.
L'analisi tecnica ha rivelato che Chrome MCP Server era in grado di accettare oltre 30 comandi remoti dal server degli attaccanti. Tra le funzionalità più pericolose figurava la possibilità di eseguire codice JavaScript arbitrario utilizzando il costruttore new Function(). Questa tecnica permette di iniettare ed eseguire script dinamici nel contesto del browser dell'utente, bypassando molte delle restrizioni di sicurezza statiche e consentendo agli operatori remoti di manipolare completamente la sessione di navigazione attiva senza lasciare tracce evidenti.
L'architettura basata su WebSocket è particolarmente insidiosa poiché opera sopra il protocollo TLS, rendendo il traffico di comando e controllo indistinguibile dalle normali comunicazioni web crittografate. Poiché l'estensione è già autorizzata all'interno del processo del browser, le connessioni in uscita non attivano solitamente gli allarmi dei firewall perimetrali. In questo modo, le 18 estensioni identificate potevano mantenere un collegamento persistente con i propri server senza insospettire i sistemi di monitoraggio della rete aziendale o domestica.
Sorveglianza passiva del DOM e attacchi AitB
Una delle scoperte più rilevanti riguardanti le 18 estensioni AI è la capacità di sorvegliare le email durante la fase di composizione. Questa attività viene eseguita tramite l'osservazione passiva del DOM (Document Object Model), la struttura gerarchica che rappresenta il contenuto di una pagina web. Mentre l'utente scrive un messaggio, il content script dell'estensione legge in tempo reale il testo digitato nell'editor. Questa tecnica permette di acquisire informazioni sensibili prima che vengano inviate o protette da crittografia end-to-end.
L'estensione Supersonic AI portava questo approccio a un livello superiore implementando una tecnica definita Adversary in the Browser (AitB). Invece di intercettare il traffico di rete, dove i dati potrebbero essere protetti, Supersonic AI leggeva i dati sensibili direttamente dal DOM renderizzato nella finestra del browser. Questo metodo permette di aggirare le protezioni TLS, poiché il malware opera "dietro" la crittografia, osservando il contenuto esattamente come appare all'utente sullo schermo, rendendo l'esfiltrazione estremamente efficace e difficile da rilevare.
L'accesso al DOM garantito a queste estensioni AI permette di intercettare non solo comunicazioni testuali, ma anche segreti industriali, codice proprietario o credenziali condivise con servizi di intelligenza artificiale legittimi. Poiché molte di queste 18 estensioni sono commercializzate come assistenti alla scrittura o alla produttività, gli utenti sono portati a concedere il permesso "Leggi e modifica tutti i dati sui siti web visitati", che è tecnicamente necessario per il funzionamento dell'AI, ma che apre la porta alla sorveglianza totale.
LLM: da strumento di produttività a motore per il malware
Il rapporto di Unit 42 evidenzia un trend strutturale preoccupante: l'uso dell'intelligenza artificiale non solo come esca, ma come strumento di sviluppo. In campioni multipli appartenenti al gruppo delle 18 estensioni, è stato identificato codice generato da modelli di linguaggio (LLM). Questo indica che gli attori delle minacce stanno impiegando attivamente l'AI per accelerare la produzione e la diversificazione del malware, riducendo drasticamente i tempi necessari per passare dalla concezione di una minaccia alla sua distribuzione.
L'integrazione di codice generato da LLM nel malware introduce sfide significative per la detection basata su firme. I modelli di linguaggio possono generare varianti funzionalmente identiche ma morfologicamente diverse dello stesso script maligno, rendendo meno efficaci i database di hash tradizionali. Sebbene Unit 42 non abbia attribuito queste 18 estensioni a un gruppo specifico di minacce, l'adozione sistematica di strumenti AI per la creazione di RAT e infostealer suggerisce una professionalizzazione crescente delle campagne malevole nel settore delle estensioni browser.
La distribuzione di queste minacce attraverso i canali ufficiali solleva interrogativi sull'efficacia dei processi di revisione automatica. Unit 42 ha confermato di aver segnalato specificamente le 18 estensioni identificate a Google. L'azienda ha risposto rimuovendo diverse estensioni o inviando notifiche formali ai proprietari per violazioni delle policy. Tuttavia, la capacità degli attaccanti di mascherare codice malevolo dietro interfacce AI accattivanti continua a rappresentare un rischio primario per gli utenti che cercano di integrare nuovi strumenti di produttività nel proprio workflow.
"That AI Extension Helping You Write Emails? It's Reading Them First" — Palo Alto Networks Unit 42
Cosa fare adesso
Data la natura delle minacce identificate da Unit 42, è fondamentale adottare misure di protezione specifiche che vadano oltre la semplice scansione antivirus tradizionale, focalizzandosi sulla gestione dei permessi all'interno del browser.
- Audit rigoroso delle estensioni installate: Revisionare immediatamente l'elenco delle estensioni browser, eliminando quelle che richiedono permessi di lettura totale dei dati senza una comprovata necessità aziendale. Prestare particolare attenzione a strumenti AI di editori poco noti o con recensioni limitate.
- Limitazione dei privilegi del browser: Implementare policy di gruppo (GPO) o configurazioni di gestione enterprise per limitare l'installazione di estensioni non approvate. Utilizzare le blocklist fornite da Google Chrome for Business per impedire l'esecuzione di script non verificati.
- Monitoraggio dell'integrità del DOM: Valutare l'adozione di soluzioni di sicurezza endpoint (EDR/XDR) capaci di monitorare accessi anomali alla struttura DOM delle pagine web sensibili, identificando tentativi di esfiltrazione dati tipici delle tecniche AitB documentate.
- Isolamento delle comunicazioni sensibili: Utilizzare profili browser separati o container isolati per l'accesso a email aziendali e piattaforme di sviluppo, assicurandosi che in tali profili non siano attive estensioni di terze parti non strettamente necessarie.
Perché è importante
Il caso delle 18 estensioni AI segnalate da Unit 42 segna una transizione critica nella cyber-sicurezza: il browser non è più solo un gateway verso il web, ma è diventato l'obiettivo finale dove i dati vengono processati in chiaro. La tecnica della sorveglianza passiva del DOM dimostra che gli attaccanti hanno compreso come bypassare le difese di rete concentrandosi sull'ultimo miglio, ovvero l'interfaccia utente. Qui, la protezione non dipende solo dalla crittografia dei protocolli, ma dalla fiducia riposta negli script che operano all'interno della pagina.
L'uso di RAT e comandi remoti WebSocket all'interno di estensioni AI suggerisce che queste minacce non mirano solo al furto di dati una tantum, ma alla creazione di una persistenza all'interno delle reti aziendali attraverso il dispositivo dell'utente. La capacità di eseguire oltre 30 comandi remoti via Chrome MCP Server offre agli attaccanti una flessibilità operativa senza precedenti, permettendo loro di adattare l'attacco in tempo reale in base alle informazioni scoperte durante la fase di osservazione passiva.
Infine, l'impiego di codice generato da AI per costruire queste minacce evidenzia un paradosso: la stessa tecnologia che promette di aumentare la produttività degli utenti viene usata per armare i malware. La velocità di produzione consentita dagli LLM costringe i difensori a una risposta altrettanto rapida e automatizzata. Senza una ricalibrazione del modello di fiducia verso le estensioni browser, il rischio di esfiltrazione di dati sensibili durante la semplice digitazione di una email rimarrà una vulnerabilità strutturale difficile da colmare.
Le informazioni contenute in questo articolo si basano sul rapporto di ricerca originale di Palo Alto Networks Unit 42 relativo alle minacce nelle estensioni browser AI.
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.