Ruim 500 kwaadaardige Chrome extensies zijn verwijderd uit Google's Web Store, die allemaal werden ontdekt als onderdeel van een grote malvertising campagne. De uitbreidingen bevatte kwaadaardige advertenties en waren overhevelen gebruikers browsing gegevens van verdachte servers. De bevindingen komen uit een gezamenlijk onderzoek uitgevoerd door security-onderzoeker Jamila Kaya en Duo Veiligheid uitgevoerd.
Hoe hebben de onderzoekers komen over de kwaadaardige Chrome-extensies?
Zoals uitgelegd door de onderzoekers in hun oorspronkelijke rapport, Jamila Kaya contact Duo Veiligheid over “een verscheidenheid aan Chrome extensies ze geïdentificeerd worden die actief zijn op een manier die in eerste instantie leek legitiem”. Echter, de meer gedetailleerde analyse bleek dat de verlengingen waren infecteren browser van de gebruiker en exfiltrating gegevens als onderdeel van een grotere campagne. in werkelijkheid, de verlengingen maakten deel uit van een netwerk van copycat browser plugins:
Deze uitbreidingen werden vaak gepresenteerd als aanbieden van reclame als een service. Jamila ontdekten ze maakten deel uit van een netwerk van copycat plugins delen vrijwel identiek functionaliteit. Door samenwerking, we waren in staat om de enkele tientallen uitbreidingen te nemen en te gebruiken CRXcavator.io te identificeren 70 bijpassende patronen in hun 1.7 miljoen gebruikers en escaleren bezorgdheid naar Google.
Het goede nieuws is dat Google was er snel bij om te reageren, en nam maatregelen onmiddellijk na de kennisgeving over de bevindingen. Zodra het rapport werd ingediend, de tech-gigant gewerkt om de bevindingen te valideren en ging over tot de verlengingen vingerafdruk, de onderzoekers gedeelde. Als gevolg van deze samenwerking, Google was in staat “alle locaties in Chrome Web Store corpus te ontdekken en te verwijderen meer dan 500 gerelateerde extensies".
In feite, we hebben talrijke specifieke artikelen over soortgelijke kwaadaardige browser-extensies die alle populaire browsers beïnvloeden gepubliceerd (Firefox, Chrome, Opera, Internet Explorer, Safari, Rand, etc.). Een voorbeeld van een dergelijke uitbreiding is de zogenaamde Kaarten Frontier.
Om te installeren op de computer van een gebruiker, Kaarten Frontier en soortgelijke apps maken gebruik van verschillende strategieën. Het programma kan automatisch worden geïnstalleerd op uw computer in de vorm van een extra aanbod in een freeware installatiepakket. Dergelijke mogelijk schadelijke extensies worden vaak gebundeld in een freeware installateur van een programma van derden, en de gebruikers uiteindelijk het downloaden van hen onbedoeld.
Echter, malvertising is ook een optie, zoals opgemerkt door de onderzoekers dat de kwaadaardige extensies in Chrome Web Store blootgelegd:
Steeds kwaadaardige acteurs legitieme internet-activiteit te gebruiken om te verdoezelen hun exploiteren droppers of command and control schema's. Een zeer populaire manier om dit te doen is om reclame cookies en de omleidingen daarin te gebruiken om de controle callbacks en te ontwijken detectie. deze techniek, genaamd “Malvertising” is uitgegroeid tot een steeds vaker voorkomende infectie vector in de ervaring van Jamila, en is nog steeds moeilijk om vandaag te detecteren, ondanks het feit dat prominente jaren.
Als gevolg van deze malvertising campagne, meer dan 1.7 miljoen gebruikers werden getroffen. Dit getal geeft de schaal waarop browseruitbreidingen als aanvalsvector vrij effectief kan worden gebruikt. “Als onderdeel van een goede beveiliging hygiëne, raden we gebruikers regelmatig controleren wat extensies zij hebben geïnstalleerd, verwijderen die ze niet meer gebruiken, en het verslag van degenen die ze niet herkennen,”Concluderen de onderzoekers.