Vai al contenuto principale
Indagine sulle estensioni contraffatte di Mozilla
Inchiesta • 6-8 min di lettura

Oltre 150 estensioni Mozilla fasulle — Un unico backend e pubblicità a pagamento

I media hanno attribuito la responsabilità di oltre 150 estensioni Mozilla contraffatte ai “russi”. Le nostre indagini rivelano l’esistenza di un’infrastruttura nigeriana (IP 185.208.156.66), l’utilizzo di kit di phishing riutilizzati e il ruolo degli articoli a pagamento nella diffusione di questa bufala.

Pubblicato originariamente su Medium — PhishDestroy

La narrazione fuorviante

Una storia su "Oltre 150 estensioni Mozilla false" La notizia, collegata a una presunta “pista russa”, è stata amplificata dai principali media specializzati in criptovalute e sicurezza. Sembra sensazionale, ma la nostra analisi dimostra che questa versione dei fatti è fuorviante — e, peggio ancora, copre i veri responsabili.

Oltre 150 estensioni di bassa qualità su un unico backend

Tutte le estensioni di questa campagna erano:

  • Non originale, sembra un copia-incolla.
  • Cambiavano solo i loghi e i nomi.
  • Il tutto collegato a un backend singolo.
IP del backend: 185.208.156.66
Il dominio del backend era alladdsite[.]digital/app.php. La maggior parte dei domini associati a questo indirizzo IP non è più attiva, ma gli archivi ne hanno conservato alcune istantanee tramite Urlscan e WebArchive.

Le nostre iniziative contro questa campagna

In qualità di gruppo indipendente di intelligence sulle minacce, specializzato nelle rimozioni di infrastrutture utilizzate per il phishing e le truffe, noi:

  • Ho inviato segnalazioni direttamente a Mozilla per segnalare estensioni dannose.
  • Inoltrato a Sigillo, chiedendo assistenza professionale per accelerare il processo di messa al bando.
  • È stato pubblicato un rapporto su Chainabuse per dare visibilità alla comunità.
  • Ha inserito milioni di frasi seed vuote nel backend degli aggressori per corrompere i dati rubati.

Perché questa non è un'infrastruttura "russa"

Gli autori di attacchi informatici di lingua russa utilizzano in genere:

  • Backend distribuiti (Cloudflare Workers, Firebase, Amazon, link univoci per ogni campagna).
  • Offuscamento e ridondanza per evitare singoli punti di guasto.

Questa campagna ha invece dimostrato che:

  • A Provider di hosting nigeriano.
  • Domini adiacenti collegati a truffe bancarie, portafogli di criptovalute falsi e truffe relative a false consegne.
  • Un account Telegram che riceve dati rubati collegati a un Operatore nigeriano.
"I gruppi russi realizzano infrastrutture sofisticate. Questa era economica, centralizzata e poco sofisticata: esattamente ciò che abbiamo già visto in precedenza sui server nigeriani."

Il problema dei media a pagamento

Gli inserimenti pubblicitari a pagamento comportano gravi conseguenze:

  1. Viene pubblicato un articolo a pagamento su una testata autorevole.
  2. Centinaia di siti minori, blog e canali Telegram lo riscrivono o lo traducono.
  3. Nel giro di pochi giorni, si trasforma in una gigantesca storia inventata che dà l'illusione di essere credibile.
"Le vittime vedono 'la pista russa', credono che il caso sia chiuso e smettono di sporgere denuncia alle autorità. I veri criminali restano impuniti."

Esempio: Angel Drainer

Tutti i principali media hanno pubblicato titoli su "Angel Drainer è stato disattivato dopo che gli sviluppatori ne hanno individuato l'autore." Ma era vero — o solo l’ennesima pubblicità pagata, ripetuta fino a sembrare credibile? Per i criminali, comprare articoli è una sciocchezza; per le vittime, cambia tutto.

Aziende specializzate in sicurezza informatica che si occupano in prima persona delle proprie relazioni pubbliche

Le aziende che operano nel settore della sicurezza informatica pagano decine di migliaia di dollari per articoli che parlano di loro, delle loro ricerche e del loro impatto. Ciò solleva alcune domande fondamentali:

  • Perché un vero gruppo di sicurezza informatica deve pagare per la copertura assicurativa?
  • Stanno cercando di coprire le tracce del vero hacker?
  • Oppure sfruttare l'identità dell'hacker per ricattare qualcuno o ottenere un vantaggio competitivo?
  • Lo scopo è rafforzare la fiducia o manipolare la percezione a scopo di lucro?
"Se la sicurezza informatica dovesse trasformarsi in un altro gioco di pubbliche relazioni, in cui i fatti vengono distorti a seconda di chi paga di più, allora la fiducia in questo settore crollerebbe."

Dati di mercato

La pratica non è un segreto:

  • Su Fiverr, Upwork e sui mercati specializzati nel settore delle pubbliche relazioni è possibile acquistare direttamente dei “post degli ospiti”.
  • I fornitori inviano fogli di calcolo di Google con decine di punti vendita e prezzi, tra cui noti marchi del settore della sicurezza informatica.
  • C'è chi promette: "A un costo aggiuntivo, nessuna etichetta sponsorizzata".

Tra gli obiettivi dichiarati per l'acquisto di articoli figurano:

  • Link building (SEO).
  • Traffico e vendite.
  • Consapevolezza del marchio.
  • Gestione della reputazione (occultamento degli aspetti negativi).
  • Verifica sociale.
  • Elenchi delle pubblicazioni per le domande di visto.

I costi indicati comprendono oltre $20,000 per ottenere spazi a pagamento dedicati alle interviste sui principali media del settore delle criptovalute.

"Questo non è giornalismo. È un mercato — dove la credibilità si compra e si vende."

Affari contro bugie

Pubblicare contenuti a pagamento non è illegale: è un'attività commerciale. Ma quando si supera il limite... pubblicare affermazioni false, sviare le indagini e spacciare le operazioni di pubbliche relazioni per fatti reali, finisce per diventare parte del problema.

Conclusione

PhishDestroy è un'iniziativa indipendente nel campo della sicurezza informatica che non riceve compensi, non vende spazi pubblicitari e non genera profitti. I fatti sono chiari:

  • Oltre 150 estensioni Mozilla indirizzate a un unico backend su un hosting nigeriano.
  • I dati sono stati inviati a un account Telegram nigeriano.
  • La storia della "pista russa" è inventata.
  • La copertura mediatica a pagamento ha amplificato questa invenzione fino a farla sembrare vera.
  • Persino le stesse aziende specializzate in sicurezza informatica investono nella propria autopromozione.
"La vendita di pubblicità è un’attività commerciale. Vendere bugie spacciandole per fatti protegge i criminali. E quando persino il settore della sicurezza informatica si mette a vendere narrazioni, a rimetterci sono le vittime — e la giustizia."

Dichiarazione di non responsabilità

Non stiamo accusando nessun individuo, azienda o testata giornalistica. Tutti i fatti provengono da fonti aperte e sono verificabili tramite archivi pubblici, scansioni e rapporti. La vera domanda è: Perché queste narrazioni vengono controllate e amplificate? Chi trae vantaggio dal fatto che una società di sicurezza sconosciuta pubblichi un’inchiesta di ampio respiro ma imprecisa, che distoglie l’attenzione dai veri responsabili?

#MozillaExtensions#PaidMedia#Disinformation#ThreatIntel#OSINT

Condividi questa indagine

X / Twitter Telegram Reddit LinkedIn

Indagini correlate

Keitaro TDS: 1.500 pannelli esposti, zero utilizzi legittimi
INDAGINE
Keitaro TDS: 1.500 pannelli esposti, zero utilizzi legittimi
Malware "BlockBlasters" su Steam: alla luce la negligenza della piattaforma
INDAGINE
Malware "BlockBlasters" su Steam: alla luce la negligenza della piattaforma
Truffatori smascherati: analisi approfondita di 4 sistemi di gestione delle truffe
INDAGINE
Truffatori smascherati: analisi approfondita di 4 sistemi di gestione delle truffe
Avviso sulla trasparenza. PhishDestroy è un progetto indipendente e senza fini di lucro. La nostra ricerca potrebbe riflettere un pregiudizio intrinseco nei confronti delle infrastrutture utilizzate per le truffe e dei servizi che le rendono possibili. Invitiamo i lettori a valutare tutto il materiale in modo critico e autonomo. Leggi la nostra dichiarazione completa sulla trasparenza →