Kwaadaardige browserextensies zijn nog steeds een probleem in de Chrome-webwinkel, maar Google heeft zich de afgelopen jaren actief ingezet om het leven van Chrome-gebruikers veiliger te maken. Het bedrijf verwijdert regelmatig kwaadaardige extensies uit zijn winkel en heeft nu drie gevaarlijke add-ons verwijderd die zich voordoen als VPN's.
Cybersecurity-onderzoekers van ReasonLabs ontdekten de nep-VPN-extensies en zeiden dat de malware werd verspreid via downloads van populaire videogames zoals Grand Theft Auto, De Sims 4, Heroes 3 en Assassin's Creed. De Trojan-installatieprogramma's waren naar verluidt Electron-applicaties, variërend in grootte van 60 MB tot 100 MB, en werden aangetroffen in meer dan 1.000 verschillende torrent-bestanden.
Zodra het bestand naar de computer is gedownload, wordt de VPN-extensie automatisch op het systeem geïnstalleerd zonder enige actie van de gebruiker. Het installatieprogramma controleert naar verluidt ook op anti-malwaresoftware op het geïnfecteerde apparaat en installeert vervolgens een van ten minste drie valse VPN-extensies geforceerd. De meest populaire van de drie extensies is netPlus, die meer dan 1 miljoen gebruikers heeft, en de andere twee zijn netSave en netWin, die ook al 500.000 keer zijn geïnstalleerd.
De ontwikkelaars van deze kwaadaardige extensies doen er alles aan om ze als echt af te schilderen, door een aantal echte VPN-functies aan te bieden, evenals betaalde abonnementsniveaus om ze op het eerste gezicht echt te laten lijken. Alle drie de extensies maken echter misbruik van 'off-screen'-machtigingen, waardoor ze gevoelige gebruikersgegevens kunnen stelen door scripts uit te voeren via de off-screen API en volledige toegang krijgen tot de huidige DOM (Document Object Model) van de webpagina.
Deze extensies kunnen ook de browser kapen, netwerkverzoeken manipuleren en zelfs andere extensies automatisch uitschakelen. Volgens het rapport schakelt de malware de cashback-extensie op de geïnfecteerde computer uit en sluist de winst door naar criminelen. De malware richt zich naar verluidt op meer dan 100 legitieme cashback-extensies, waaronder AvastSafePrice, AVGSafePrice, Honey: AutomaticCoupons & Rewards, LetyShops, Megabonus, AliRadarShoppingAssistant, Yandex.MarketAdviser, ChinaHelper en Backlit.
Nadat ReasonLabs contact had opgenomen met Google, verwijderde Google alle drie de extensies uit de Chrome-webwinkel, maar niet voordat ze ongeveer 1,5 miljoen apparaten hadden geïnfecteerd. Hoewel deze extensies tot het verleden behoren, is het onwaarschijnlijk dat dit de laatste malware in de Chrome-webwinkel is. Mensen moeten dus waakzaam blijven over wat ze op hun apparaten installeren.
leer meer:
https://reasonlabs.com/research/the-cashback-extension-killer