Notizie

Le estensioni false bloccano i browser per indurre gli utenti a infettare i propri dispositivi

di Pieter Arntz | 20 gennaio 2026
Computer portatile che mostra un avviso

I ricercatori hanno scoperto un altro metodo utilizzato nello spirito di ClickFix: CrashFix.

Le campagne ClickFix utilizzano esche convincenti, storicamente schermate di "verifica umana", per indurre l'utente a incollare un comando dagli appunti. Dopo false schermate Windows , tutorial video per Mac e molte altre varianti, gli aggressori hanno ora introdotto un'estensione del browser che blocca intenzionalmente il browser.

I ricercatori hanno scoperto una copia contraffatta di un noto ad blocker e sono riusciti a inserirlo nel Chrome Store ufficiale con il nome "NexShield – Advanced Protection". A rigor di termini, il crash del browser fornisce effettivamente un certo livello di protezione, ma non è ciò che gli utenti cercano in genere.

Se gli utenti installano l'estensione del browser, questa si collega a nexsnield[.]com (notare l'errore ortografico) per tracciare installazioni, aggiornamenti e disinstallazioni. L'estensione utilizza l'API (interfaccia di programmazione dell'applicazione) Alarms integrata Chromeper attendere 60 minuti prima di avviare il suo comportamento dannoso. Questo ritardo rende meno probabile che gli utenti colleghino immediatamente l'installazione al successivo crash.

Dopo questa pausa, l'estensione avvia un ciclo di denial-of-service che apre ripetutamente connessioni alla porta chrome.runtime, esaurendo le risorse del dispositivo fino a quando il browser non risponde più e si blocca.

Dopo aver riavviato il browser, gli utenti vedono un pop-up che li informa che il browser si è arrestato in modo anomalo, il che è vero ma non inaspettato, e che fornisce istruzioni su come evitare che ciò si ripeta in futuro.

Presenta all'utente le ormai classiche istruzioni per aprire Win+R, premere Ctrl+V, e premere Invio per "risolvere" il problema. Questo è il tipico comportamento di ClickFix. L'estensione ha già inserito un comando PowerShell o cmd dannoso negli appunti. Seguendo le istruzioni, l'utente esegue quel comando dannoso e infetta effettivamente il proprio computer.

Sulla base dei controlli delle impronte digitali per verificare se il dispositivo è collegato al dominio, attualmente sono possibili due risultati.

Se il computer è collegato a un dominio, viene trattato come un dispositivo aziendale e infettato con un trojan di accesso remoto (RAT) Python denominato ModeloRAT. Sui computer non collegati al dominio, il payload è attualmente sconosciuto poiché i ricercatori hanno ricevuto solo una risposta "TEST PAYLOAD!!!!". Ciò potrebbe implicare uno sviluppo in corso o altre impronte digitali che hanno reso il computer di prova inadatto.

Come stare al sicuro

Al momento della stesura di questo articolo, l'estensione non era più disponibile nel Chrome Store, ma senza dubbio riapparirà con un altro nome. Ecco quindi alcuni consigli per stare al sicuro:

  • Se stai cercando un ad blocker o altre estensioni utili per il browser, assicurati di installare quelle autentiche. I criminali informatici amano spacciarsi per software affidabili.
  • Non eseguire mai codici o comandi copiati da siti web, e-mail o messaggi a meno che non ti fidi della fonte e comprenda lo scopo dell'azione. Verifica le istruzioni in modo indipendente. Se un sito web ti chiede di eseguire un comando o un'azione tecnica, controlla la documentazione ufficiale o contatta l'assistenza prima di procedere.
  • Proteggi i tuoi dispositivi. Utilizza una soluzione anti-malware aggiornata in tempo reale con un componente di protezione web.
  • Informati sulle tecniche di attacco in continua evoluzione. Comprendere che gli attacchi possono provenire da vettori inaspettati ed evolversi aiuta a mantenere alta la vigilanza. Continua a leggere il nostro blog!

Suggerimento da esperto: il programma gratuito Malwarebytes Browser Guard è un blocco pubblicità molto efficace e ti protegge dai siti web dannosi. Ti avvisa anche quando un sito web copia qualcosa negli appunti e aggiunge un piccolo snippet per rendere inutili eventuali comandi.

Non ci limitiamo a segnalare le minacce, ma le eliminiamo.

I rischi per la sicurezza informatica non dovrebbero mai diffondersi al di là di un titolo di giornale. Tenete le minacce lontane dai vostri dispositivi scaricando Malwarebytes oggi stesso.

Informazioni sull'autore

Pieter Arntz

Pieter Arntz

Ricercatore nel campo della sicurezza informatica

È stato un MVP Microsoft per la sicurezza dei consumatori per 12 anni consecutivi. Sa parlare quattro lingue. Profuma di mogano e di libri rilegati in pelle.

ULTIMI ARTICOLI

AI
Una mano si abbassa per afferrare un asterisco da una password scritta.

Le password generate dall'intelligenza artificiale rappresentano un rischio per la sicurezza

Febbraio 19, 2026

Le password generate dall'intelligenza artificiale sono "altamente prevedibili" e non sono realmente casuali, rendendole più facili da decifrare per i criminali informatici.

Notizie
Logo Tenga

Il produttore di articoli per l'intimità Tenga ha divulgato i dati dei propri clienti

Febbraio 19, 2026

Un attacco di phishing ai danni di un dipendente di Tenga potrebbe aver compromesso i dati dei clienti statunitensi. I clienti devono prestare attenzione ai tentativi di phishing a sfondo sessuale.

Violazioni dei dati
Logo Betterment

La violazione dei dati di Betterment potrebbe essere più grave di quanto pensassimo

Febbraio 18, 2026

Questa violazione appare ora molto più grave. I dati trapelati includono dettagli personali e finanziari che potrebbero essere utilizzati dai phisher.

Icona dei collaboratori

Contribuenti

Icona del Centro per le minacce

Centro delle minacce

Icona Podcast

Podcast

Icona del glossario

Glossario

Icona delle truffe

Truffe