Onderzoekers van Koi Security hebben 18 schadelijke extensies ontdekt die maar liefst 2,3 miljoen gebruikers in Chrome en Edge infecteerden. De extensies konden worden gedownload via de officiële webwinkels van de browsers. Deze ontdekking heeft de naam RedDirection-campagne gekregen.
De extensies doen zich voor als populaire productiviteits- en entertainmenttools, zoals emoji-toetstenborden, kleurkiezers, weerapps, VPN’s en Youtube-unblockers, meldt Idan Dardikman, onderzoeker van Koi Security, op het platform Medium. De tools doen wat ze beloven, waardoor ze lastig als onbetrouwbaar kunnen worden bestempeld.
Betrouwbaar op de voorgrond
Deze extensies waren niet vanaf de eerste dag kwaadaardig. De schadelijke malware werd later via versie-updates geïntroduceerd. Sommigen functioneren dus jarenlang prima, waardoor de onderzoekers vermoedden dat ze mogelijk zijn gehackt.
Sommige extensies worden zelfs voorzien van verificatiebadges, worden prominent weergegeven in zowel de Chrome Web als Microsoft Edge Store en krijgen positieve recensies. Dit zijn signalen die meestal wijzen op betrouwbare apps.
Niet zo betrouwbaar op de achtergrond
Hoewel de extensies op het eerste gezicht betrouwbaar lijken, gebeuren er allerlei schadelijke achtergrondprocessen op je apparaat. De malware gebruikt een slim trucje om je browser over te nemen. Elke keer als je een website bezoekt doet de extensie het volgende:
- Het legt de url vast van de pagina die je bezoekt
- Stuurt die informatie, samen met jouw unieke tracking-ID waarmee je gevolgd kunt worden, naar een externe server van de aanvallers
- Krijgt van die server een potentiële nieuwe omleidingslink doorgestuurd
- Stuurt je browser automatisch door naar andere websites als hierom wordt gevraagd
De onderzoekers gebruikten het onderstaande voorbeeld om aan te tonen hoe dit proces werkt:
“Je ontvangt een uitnodiging voor een Zoom-vergadering en klikt op de link. In plaats van deel te nemen aan je vergadering, onderschept een van de kwaadaardige extensies je verzoek en stuurt je door naar een overtuigend neppagina die beweert dat je een "kritieke Zoom-update" moet downloaden om deel te nemen. Je downloadt wat legitieme software lijkt, maar je hebt zojuist extra malware op je systeem geïnstalleerd, wat mogelijk leidt tot volledige overname van je machine en volledige compromittering van je apparaat.”
2,3 miljoen gebruikers besmet
De kwaadaardige updates zijn ongemerkt verspreid doordat Google en Microsoft browserextensies automatisch updaten. Zo kon het gebeuren dat meer dan 2,3 miljoen gebruikers op beide platformen malware installeerden, zonder dat ze in phishing of andere manipulatietrus waren getrapt.
Om welke extensies gaat het?
Chrome:
- Emoji keyboard online
- Free Weather Forecast
- Unlock Discord
- Dark Theme (Dark Reader for Chrome)
- Volume Max
- Unblock TikTok
- Unlock YouTube VPN
- Geco colorpick
- Weather
Edge:
- Unlock TikTok
- Volume Booster
- Web Sound Equalizer
- Header Value
- Flash Player
- Youtube Unblocked
- SearchGPT
- Unlock Discord
Wat te doen als je een malware-extensie hebt gedownload?
1. Verwijder alle kwaadaardige extensies direct uit Chrome en Edge.
2. Wis je browsergegevens (zoals je geschiedenis en cookies) om tracking-ID’s te verwijderen.
3. Voer een volledige malwarescan uit om je apparaat te controleren op extra infecties.
4. Controleer je online accounts op verdachte activiteiten als je gevoelige sites hebt bezocht, zoals die van je bank. Stel ook nieuwe wachtwoorden en tweestapsverificatie in van belangrijke accounts.
5. Houd je apparaten up-to-date.
