Estensioni fake

AiFrame: Estensioni Fake AI Assistant per Chrome che colpiscono oltre 260.000 utenti

Recenti analisi di sicurezza hanno portato alla luce una campagna massiccia di estensioni malevole per Google Chrome che si finge assistenti di intelligenza artificiale.

Cos’è “AiFrame”?

Il nome AiFrame identifica una campagna coordinata di estensioni per Chrome che si spacciano per strumenti di AI per sintesi, chat, traduzione e produttività in Gmail, ma in realtà sono veicoli per spionaggio e furto di dati. L’operazione ha raggiunto una diffusione enorme, con numeri stimati tra i 260.000 e oltre 300.000 utenti che hanno installato una di queste estensioni.

Come funzionano tecnicamente

Queste estensioni non eseguono realmente funzionalità AI “di per sé”: la loro UI viene caricata attraverso un iframe a tutto schermo che punta a un dominio remoto controllato dall’attaccante. Questo trucco consente ai creatori di cambiare dinamicamente il comportamento dell’estensione dopo l’installazione, bypassando così le verifiche statiche del Chrome Web Store.

Perché è un problema?

• Comportamento remoto non verificabile: il codice importante non è incluso nell’estensione ma è servito da un server esterno, quindi non può essere analizzato in anticipo.
• Accesso privilegiato al browser: con permessi come "leggi e modifica i dati su tutti i siti web", questi iframe possono intercettare contenuti sensibili.
• Capacità di estrazione dati: possono leggere testo di pagine, cronologia di navigazione, email Gmail e persino bozze di email.

Esempi concreti di estensioni coinvolte

Le analisi di sicurezza hanno identificato molteplici estensioni che condividono lo stesso “backend” malevolo, come:

• AI Sidebar – ~70.000 installazioni
• AI Assistant – ~60.000 installazioni
• ChatGPT Translate
• AI GPT
• Google Gemini

Le cifre sopra sono indicative, basate sui dati pubblicati da fonti di sicurezza.

Strategia di diffusione

Questa campagna usa una tecnica conosciuta come “extension spraying”: gli aggressori pubblicano molte varianti della stessa estensione con nomi e ID diversi. Se una viene rimossa dallo store, le altre rimangono o vengono rapidamente sostituite.

Potenziali rischi per la sicurezza

• Furto di credenziali e password
• Esfiltrazione di email e contenuti personali
• Monitoraggio della navigazione
• Possibile controllo remoto del browser

Tutto questo avviene senza che l’utente se ne accorga, sotto la maschera di un “assistente AI” apparentemente utile.

Cosa fare se hai installato una di queste estensioni

È fondamentale:

• Rimuovere immediatamente qualsiasi estensione sospetta tramite chrome://extensions
• Revocare sessioni e cambiare password di Gmail e di altri servizi usati col browser
• Verificare permessi e attività di estensioni installate
• Usare strumenti di protezione come antivirus e controlli di sicurezza periodici

Conclusione

La popolarità degli strumenti IDA (intelligenza artificiale) ha creato un terreno fertile per campagne di malware che sfruttano l’ecosistema delle estensioni di Chrome. Anche se un’estensione sembra legittima, architetture basate su iframe remoti e permessi ampi rappresentano un rischio reale per la privacy e la sicurezza degli utenti.