Roundcube Violato: Come Verificare e
Hacker sospettati di legami cinesi hanno bucato Roundcube in università americane. Se gestisci questo webmail, devi verificare SUBITO se sei compromesso. Ecco come.
LeggiTeam MailSniper
Autore
130.000 estensioni disponibili sul Chrome Web Store. Una superficie d'attacco enorme, per lo più invisibile ai controlli perimetrali tradizionali. Nel febbraio 2026, i ricercatori di sicurezza hanno identificato tra queste una famiglia di estensioni specificamente progettate per colpire Meta Business Suite e Facebook Business Manager — strumenti centrali nella gestione pubblicitaria di migliaia di aziende europee.
Chi: threat actor non ancora attribuito con certezza; pattern tecnici compatibili con precedenti campagne di origine vietnamita e dell'Europa orientale. Cosa: esfiltrazione di cookie di sessione, token OAuth, dati di navigazione e contenuti di account pubblicitari aziendali. Quando: distribuzione attiva da almeno Q4 2025; discovery e divulgazione pubblica febbraio 2026. Come: installazione tramite Chrome Web Store (listing fraudolento) o sideloading via link phishing; operatività interamente in-memory, senza artefatti su disco. Perché: accesso a budget pubblicitari pre-caricati e database clienti di agenzie marketing, media buyer, e-commerce.
La peculiarità di questa campagna rispetto ai tradizionali infostealer è l'assenza di eseguibili separati: l'intera catena di compromissione vive all'interno del browser, riducendo drasticamente la superficie di detection degli strumenti EDR tradizionali.
L'estensione viene distribuita attraverso tre canali principali, in ordine di frequenza osservata:
.crx ospitati su domini recentemente registrati, confezionati come aggiornamenti urgenti di strumenti già in uso.Il canale email rappresenta il vettore di ingresso iniziale più documentato: l'utente riceve un messaggio apparentemente da Meta o da un partner tecnologico, che lo invita a installare un "aggiornamento di sicurezza" o un "plugin per la gestione avanzata delle campagne".
| MITRE ID | Tattica | Tecnica Specifica |
|---|---|---|
| T1176 | Persistence | Browser Extensions |
| T1539 | Credential Access | Steal Web Session Cookie |
| T1056.001 | Collection | Keylogging (form fields) |
| T1185 | Collection | Browser Session Hijacking |
| T1071.001 | Command & Control | Application Layer Protocol — Web |
| T1041 | Exfiltration | Exfiltration Over C2 Channel |
| T1027 | Defense Evasion | Obfuscated Files or Information |
L'estensione richiede all'installazione un set di permessi che, singolarmente, potrebbero apparire legittimi:
tabs — accesso alle schede aperte e ai loro URLstorage — lettura/scrittura del local storage browserwebRequest / webRequestBlocking — intercettazione e modifica delle richieste HTTP in tempo realecookies — accesso ai cookie di qualsiasi dominio visitatoUna volta attiva, la logica malevola si attiva su specifici trigger URL correlati ai domini Meta Business. Il flusso operativo:
business.facebook.com o business.meta.comc_user, xs, datr, fr)cdn-analytics-, pixel-sync-, meta-cdn-helper-* registrati negli ultimi 6 mesiwebRequestBlocking + cookies combinati, installate fuori dall'inventario approvato| Tipologia | Livello Rischio | Esposizione Principale |
|---|---|---|
| Agenzie marketing e advertising | CRITICO | Budget clienti, dati campagne, accessi multipli |
| Media buyer indipendenti | CRITICO | Concentrazione su singolo operatore, alert tardivi |
| E-commerce con Meta Ads attivo | ALTO | Catalogo prodotti, customer audience, budget |
| Corporate con team marketing | ALTO | Dati clienti B2B, strategie pubblicitarie |
| PMI con account Ads | MEDIO-ALTO | Monitoraggio limitato, tempi di detection elevati |
| Enti pubblici e Non-profit | BASSO-MEDIO | Budget ridotti, minore attrattività economica |
Il modello di monetizzazione degli attaccanti sfrutta principalmente:
Le perdite documentate in campagne analoghe variano da qualche migliaio di euro per le PMI a importi nell'ordine dei sei zeri per le agenzie con portafoglio clienti esteso.
La campagna mostra distribuzione globale, con concentrazione nei mercati a più alta intensità pubblicitaria su Meta: Nordamerica, Europa Occidentale (Germania, Francia, Italia, Spagna), APAC. Il mercato italiano — tra i principali per spesa pubblicitaria digitale in Europa — rientra pienamente nel profilo target.
| Anno | Campagna | Target Primario | Tecnica Principale | Sofisticazione |
|---|---|---|---|---|
| 2021 | ChromeLoader | Generico | Adware e redirect | Bassa |
| 2022–23 | Ducktail | Meta Business | Cookie theft da profili browser su disco | Media |
| 2024 | S1deload Stealer | Social media generici | Extension injection + DLL sideloading | Media-Alta |
| 2025 | NodeStealer v3 | Multi-piattaforma | Python-based, lettura cookie da filesystem | Alta |
| 2026 | Campagna attuale | Meta Business Suite | Extension nativa + OAuth intercept in-memory | Alta |
La progressione evidenzia un trend di specializzazione verticale e riduzione degli artefatti on-disk: da strumenti generalisti che lasciano tracce evidenti a malware chirurgici che operano esclusivamente in memoria sfruttando API browser legittime.
La campagna Ducktail (2022–2023, attribuita a threat actor vietnamiti da WithSecure) rappresenta l'antecedente più rilevante per target e obiettivi. Le differenze tecniche con la campagna attuale sono però sostanziali:
Ducktail (2022–2023):
%AppData%\Google\Chrome\User Data\Default\Cookies)Campagna 2026:
Questo salto tecnico riduce significativamente la surface di detection: gli strumenti endpoint convenzionali mostrano efficacia limitata contro un attacco che vive esclusivamente in memoria e sfrutta API browser ufficiali.
L'adozione massiva di SaaS e workflow browser-first ha spostato de facto il perimetro aziendale all'interno del browser. Il Chrome Web Store, con le sue centinaia di migliaia di estensioni, è diventato una supply chain parallela — meno controllata e meno auditata rispetto ai canali software tradizionali. Questo shift strutturale favorisce i threat actor che investono nel vettore extension, dove il rapporto costo/impatto è storicamente favorevole all'attaccante.
webRequest + cookies combinati senza giustificazione tecnica documentataImpostazioni → Sicurezza → Sessioni attive revocare tutte le sessioni attive; forzare re-autenticazione con password robusta| Strumento | Funzione | Disponibilità |
|---|---|---|
| CRXcavator (crxcavator.io) | Analisi statica estensioni Chrome | Gratuito |
| Chrome Enterprise | Gestione e policy centralizzate | Incluso in Google Workspace |
| VirusTotal | Verifica hash file .crx | Gratuito (base) |
| MISP | Condivisione IoC con community | Open source |
| ANY.RUN | Sandbox analisi comportamentale | Freemium |
Per una valutazione strutturata del livello di esposizione, il framework NIST CSF 2.0 (funzione "Protect", categoria "Platform Security") e le linee guida ENISA sulla sicurezza browser enterprise forniscono un riferimento metodologico consolidato. Per domande operative su vettori email correlati, consulta la sezione FAQ tecnica.
Nei prossimi 3–6 mesi, il vettore "estensioni browser malevole" è destinato a intensificarsi. Tre driver convergenti alimentano questa previsione.
AI-assisted obfuscation: i modelli linguistici permettono di generare varianti di codice malevolo che superano i controlli automatizzati del Web Store con ritmo crescente, abbassando la barriera tecnica per threat actor con risorse limitate.
Specializzazione verticale: dopo Meta Business Suite, i target probabili nel breve periodo includono Google Ads Manager, Shopify Admin, HubSpot e Salesforce — ovunque risiedano accessi a budget elevati o database clienti di valore commerciale immediato.
Erosione del perimetro browser: con l'adozione di Chrome come thin client aziendale e la proliferazione di estensioni produttività post-pandemia, la superficie d'attacco gestita tramite add-on browser continua ad espandersi proporzionalmente. I team di sicurezza dovrebbero integrare il monitoraggio delle estensioni nel proprio programma di vulnerability management entro il prossimo ciclo di revisione trimestrale.
Team MailSniper
Team MailSniper
Esperti di sicurezza email e protezione aziendale. Il team MailSniper analizza quotidianamente le minacce informatiche per offrire soluzioni all'avanguardia alle aziende italiane.
Scopri chi siamoHacker sospettati di legami cinesi hanno bucato Roundcube in università americane. Se gestisci questo webmail, devi verificare SUBITO se sei compromesso. Ecco come.
LeggiUn nuovo attacco sfrutta il flusso device code di Microsoft per rubare account M365. Ma il vero problema? Il costo che nessuno calcola. Ecco l'analisi per il CDA.
LeggiUna nuova campagna chiamata EvilTokens sta colpendo aziende in USA ed Europa con una tecnica innovativa: il ghost phishing. La pagina malevola resta crittografata e invisibile ai filtri antispam tradizionali, per poi decodificarsi solo nel browser della vittima. Analisi completa della minaccia.
LeggiRicevi i nostri articoli e consigli direttamente nella tua casella di posta.
Scopri come MailSniper puo' proteggere le tue email aziendali con tecnologia AI di livello enterprise.