In de Google Chrome Web Store zijn verschillende extensies voor Google Chrome ontdekt die naast de gewenste functies ook malware bevatten. Gebruikers dienen deze browserextensies per direct te verwijderen.
Waarschuwing van voormalig Adblock Plus-ontwikkelaar
Wladmimir Palant, voormalig ontwikkelaar van Adblock Plus, waarschuwt in zijn blog voor kwaadaardige browserextensies in de Chrome Web Store van Google. Avast heeft deze bevindingen bevestigd. Google heeft vervolgens een groot aantal van de getroffen browser-add-ons uit de winkel verwijderd. Het verwijderen van de extensies uit webbrowsers moeten gebruikers echter zelf doen.
Kwaadaardige extensies met vergelijkbare code
Palant heeft in zijn analyse uitgelegd dat hij naast één kwaadaardige PDF-toolbox-extensie consistent andere extensies heeft gevonden met vergelijkbare versluierde kwaadaardige code. Afgelopen donderdag ontdekte hij al 34 extensies die ongeveer 87 miljoen gebruikers troffen.
Enkele populaire extensies zijn waarbij malware is geidentificeerd zijn:
- Autoskip voor YouTube
- Crystal Ad block
- Brisk VPN
Elk van deze extensies heeft meer dan vijf miljoen gebruikers. Het is overigens ook bijzonder dat Google zelfs de meeste van deze malware-add-ons vermeld heeft als “Aanbevolen” in de Chrome Web Store.
Reviews die lijken op echte reviews maar nep zijn
Samen met Lukas Andersson ontdekte Palant dat andere kwaadaardige extensies gebruik maakten van gemanipuleerde reviews in de Chrome Web Store. Ze vertoonden vergelijkbare patronen in de beoordelingen. Op vrijdag had Google deze gevallen uit de winkel verwijderd, met uitzondering van acht extensies.
Aangevuld met kwaadaardige code
Hoewel de extensies de geadverteerde functies bieden, hebben de ontwikkelaars ze aangevuld met extra kwaadaardige code. Dit stelt de website serasearchtop[.]com in staat om willekeurige JavaScript-code in alle bezochte websites te injecteren. Dit zal waarschijnlijk worden misbruikt om advertenties te injecteren, maar andere kwaadaardige aanvallen zijn ook mogelijk. De extensies wachten echter 24 uur voordat ze beginnen met het injecteren van JavaScript in de website, om geen argwaan te wekken, legt Palant uit in zijn analyse van de schadelijke code. Hij heeft echter nooit het specifieke gedownloade JavaScript ontvangen, dus kan hij geen gedetailleerdere onderzoeksresultaten verstrekken over de andere kwaadaardige functies.
Bevestiging van Avast
In een blogpost heeft Avast de bevindingen van Palant bevestigd door te stellen dat de browserextensies adware verspreiden en zoekresultaten manipuleren. Vanwege het lage aantal beoordelingen gaan de virusanalisten ervan uit dat er is gemanipuleerd met het aantal installaties.
Verwijdering van de extensies
Een lijst met app-namen en extensie-ID’s is te vinden in een andere blogpost van Palant. Chrome-gebruikers moeten controleren of ze een of meer van deze extensies hebben geïnstalleerd en ze verwijderen als dat het geval is. Volgens Palant heeft Google geen automatische verwijdering geactiveerd.
Onderzoek naar browserextensies
Browserextensies zijn doorgaans niet het hoofdonderwerp van IT-beveiligingsonderzoekers. Ongeveer een jaar geleden werd echter ook al een kwaadaardige Chrome-extensie genaamd ChromeLoader ontdekt. Deze extensie kon het verkeer omleiden en gegevens overdragen.
Blijf op de hoogte omtrent alles wat met (cyber)security te maken heeft, schrijf je in voor de gratis nieuwsbrief:
