Un allegato e-mail porta all’installazione di Chrome dannosa. Secondo i ricercatori, essa fa parte di una Windows diffusa tramite un’e-mail di phishing. Il malware sfrutta la funzionalità Chrome Messaging per trasferire il controllo dal browser al sistema host. La sua caratteristica più rilevante non è l’esca di phishing in sé, ma il modo in cui utilizza Windows legittime del browser e Windows per eseguire PowerShell e raccogliere dati, rimanendo all’interno dei flussi di lavoro previsti.
L'attacco ha inizio con un allegato e-mail camuffato da file PDF. Il file utilizza un'estensione fuorviante .pfd.js sembra un documento PDF, ma in realtà è un file JavaScript offuscato che inserisce altri file nella cartella temporanea e avvia il resto della catena di infezione.
Nell’ambito di tale processo, uno script PowerShell prepara Chrome e modifica le impostazioni Chrome in modo che l’estensione possa essere installata. Il malware fa sì che l’installazione appaia come una distribuzione controllata dall’amministratore anziché come una normale installazione di un’estensione.
Una volta attivata, l’estensione e la sua applicazione nativa associata raccolgono i cookie del browser, le schede aperte, gli URL, le impostazioni della lingua e i dati di fingerprinting. Gli operatori utilizzano inoltre la configurazione come canale di comando remoto, inviando istruzioni in grado di avviare PowerShell ed enumerare il contenuto del C: unità.
Grazie ai cookie di sessione autenticati sottratti, gli aggressori possono dirottare le sessioni attive del browser anziché limitarsi a rubare le password; ciò risulta loro più utile in quanto consente loro di accedere agli account già aperti sul browser della vittima, aggirando l’autenticazione a più fattori (MFA).
L’aspetto più interessante dell’attacco è l’uso improprio di Chrome Messaging come ponte tra la sandbox del browser e il sistema operativo. Chrome alle estensioni di comunicare con un host nativo registrato, e gli autori dell’attacco hanno sfruttato questa funzionalità legittima per trasformare l’estensione in un controller per l’esecuzione di codice locale. L’estensione non avvia direttamente PowerShell. Invia invece messaggi all’host nativo, che a sua volta avvia o interagisce con PowerShell sul sistema host.
Come stare al sicuro
La prima linea di difesa contro attacchi di questo tipo consiste nell’evitare di aprire gli allegati delle e-mail, a meno che non si possa verificare l’identità del mittente. Inoltre:
- Controlla sempre l'estensione effettiva del file, invece di fare affidamento sul nome visualizzato.
- Utilizza una soluzione anti-malware aggiornata e in tempo reale per rilevare e bloccare le attività dannose.
- Controlla le Chrome installate sul tuo dispositivo e rimuovi quelle che non riconosci o che non utilizzi più.
- Per maggiore sicurezza, esci dagli account importanti quando hai finito. In questo modo la tua sessione verrà interrotta, quindi anche se qualcuno dovesse aver rubato il tuo cookie di sessione, non potrà utilizzarlo per accedere al tuo account.
- Controlla regolarmente la cronologia degli accessi degli account importanti. Molti servizi online ti consentono di vedere quali dispositivi hanno effettuato l'accesso, quando e da dove.
CIO
Allegato:
Fattura-2819889242.pfd.js (visualizzato come Fattura-26189991026.pdf)
File dannosi:
client_124578.exe
d3d11.dll
Chrome :
Nome: Cloud vn105rkj64
ID: gghagmhimhgfeajfdmjkgmmehbokmglg
Dominio:
ext2[.]info
Questo viene bloccato da Malwarebytes Browser Guard, la nostra estensione gratuita per il browser che blocca pubblicità, tracker, malware e altro ancora.
![Browser Guard ext2[.]info](https://www.malwarebytes.com/wp-content/uploads/sites/2/2026/06/ext2infoblock.png)
Non ci limitiamo a segnalare le minacce, ma le eliminiamo.
I rischi per la sicurezza informatica non dovrebbero mai diffondersi al di là di un titolo di giornale. Tenete le minacce lontane dai vostri dispositivi scaricando Malwarebytes oggi stesso.
