Malware in Chrome Web Store voor browserextensies ontdekt

Elwin Hodžić
0

In de Google Chrome Web Store zijn verschillende extensies voor Google Chrome ontdekt die naast de gewenste functies ook malware bevatten. Gebruikers dienen deze browserextensies per direct te verwijderen.

Malware in Chrome Web Store voor browserextensies ontdekt

Waarschuwing van voormalig Adblock Plus-ontwikkelaar

Wladmimir Palant, voormalig ontwikkelaar van Adblock Plus, waarschuwt in zijn blog voor kwaadaardige browserextensies in de Chrome Web Store van Google. Avast heeft deze bevindingen bevestigd. Google heeft vervolgens een groot aantal van de getroffen browser-add-ons uit de winkel verwijderd. Het verwijderen van de extensies uit webbrowsers moeten gebruikers echter zelf doen.

Kwaadaardige extensies met vergelijkbare code

Palant heeft in zijn analyse uitgelegd dat hij naast één kwaadaardige PDF-toolbox-extensie consistent andere extensies heeft gevonden met vergelijkbare versluierde kwaadaardige code. Afgelopen donderdag ontdekte hij al 34 extensies die ongeveer 87 miljoen gebruikers troffen.

Enkele populaire extensies zijn waarbij malware is geidentificeerd zijn:

  • Autoskip voor YouTube
  • Crystal Ad block
  • Brisk VPN

Elk van deze extensies heeft meer dan vijf miljoen gebruikers. Het is overigens ook bijzonder dat Google zelfs de meeste van deze malware-add-ons vermeld heeft als “Aanbevolen” in de Chrome Web Store.

Reviews die lijken op echte reviews maar nep zijn

Samen met Lukas Andersson ontdekte Palant dat andere kwaadaardige extensies gebruik maakten van gemanipuleerde reviews in de Chrome Web Store. Ze vertoonden vergelijkbare patronen in de beoordelingen. Op vrijdag had Google deze gevallen uit de winkel verwijderd, met uitzondering van acht extensies.

Aangevuld met kwaadaardige code

Hoewel de extensies de geadverteerde functies bieden, hebben de ontwikkelaars ze aangevuld met extra kwaadaardige code. Dit stelt de website serasearchtop[.]com in staat om willekeurige JavaScript-code in alle bezochte websites te injecteren. Dit zal waarschijnlijk worden misbruikt om advertenties te injecteren, maar andere kwaadaardige aanvallen zijn ook mogelijk. De extensies wachten echter 24 uur voordat ze beginnen met het injecteren van JavaScript in de website, om geen argwaan te wekken, legt Palant uit in zijn analyse van de schadelijke code. Hij heeft echter nooit het specifieke gedownloade JavaScript ontvangen, dus kan hij geen gedetailleerdere onderzoeksresultaten verstrekken over de andere kwaadaardige functies.

Bevestiging van Avast

In een blogpost heeft Avast de bevindingen van Palant bevestigd door te stellen dat de browserextensies adware verspreiden en zoekresultaten manipuleren. Vanwege het lage aantal beoordelingen gaan de virusanalisten ervan uit dat er is gemanipuleerd met het aantal installaties.

Verwijdering van de extensies

Een lijst met app-namen en extensie-ID’s is te vinden in een andere blogpost van Palant. Chrome-gebruikers moeten controleren of ze een of meer van deze extensies hebben geïnstalleerd en ze verwijderen als dat het geval is. Volgens Palant heeft Google geen automatische verwijdering geactiveerd.

Onderzoek naar browserextensies

Browserextensies zijn doorgaans niet het hoofdonderwerp van IT-beveiligingsonderzoekers. Ongeveer een jaar geleden werd echter ook al een kwaadaardige Chrome-extensie genaamd ChromeLoader ontdekt. Deze extensie kon het verkeer omleiden en gegevens overdragen.


Blijf op de hoogte omtrent alles wat met (cyber)security te maken heeft, schrijf je in voor de gratis nieuwsbrief:

Ontvang elke week het laatste IT-nieuws, de handigste tips en speciale aanbiedingen.

Meer over

GoogleMalware

Deel dit artikel

Elwin Hodžić
Elwin Hodžić(Web)redacteur bij c't. Ondanks de studie geschiedenis, altijd al een passie gehad voor alles wat met IT te maken heeft. Sleutelt in zijn vrije tijd graag aan pc’s, van de hardware tot het uitpluizen van de BIOS-instellingen om een pc zo optimaal mogelijk te laten werken.

Lees ook

Bestel nu je tickets voor c’t live 2024!

Bestel nu je tickets voor c't live 2024!

Acer kondigt maar liefst drie nieuwe gaminglaptops aan

Acer lanceert maar liefst drie nieuwe gaminglaptops. Zo introduceren ze de nieuwe Nitro 14 gaminglaptop met processors uit de AMD Ryzen 8040-serie. Oo...

0 Praat mee
avatar
  Abonneer  
Laat het mij weten wanneer er