Onderzoekers van Koi Security hebben bijna een dozijn kwaadaardige Chrome-extensies ontdekt die gezamenlijk ruim 1,7 miljoen keer zijn gedownload via de officiële Chrome Web Store. De extensies lijken op het eerste gezicht legitiem, maar bevatten verborgen functies die gebruikersgedrag kunnen volgen, browseractiviteiten kunnen stelen en doorverwijzen naar mogelijk onveilige websites.
Chrome-extensies
De malafide extensies doen zich voor als handige tools zoals kleurkiezers, VPN’s, volumeboosters en emoji-toetsenborden. Ze functioneren grotendeels zoals geadverteerd, wat het voor gebruikers lastig maakt om ze als verdacht te herkennen. Sommige extensies zijn zelfs voorzien van een verificatiebadge, honderden positieve reviews en een prominente plek in de Web Store. Factoren die normaal gesproken vertrouwen wekken.
Achtergrondprocessen
De schadelijke functionaliteit zit verborgen in de achtergrondprocessen van de extensies. Via de Chrome Extensions API registreert elke extensie een ‘listener’ die wordt geactiveerd wanneer de gebruiker een nieuwe webpagina bezoekt. Deze listener stuurt vervolgens de URL van de bezochte site samen met een unieke gebruikers-ID naar een externe server. Die server kan gebruikers omleiden naar andere websites, wat hun browseractiviteit kaapt en hen mogelijk blootstelt aan cyberaanvallen.
Risico’s
Koi Security heeft in hun tests nog geen kwaadaardige redirects waargenomen, maar de risico’s zijn reëel. De schadelijke code werd niet in de oorspronkelijke versies gevonden, maar later toegevoegd via automatische updates. Hierdoor kregen gebruikers ongemerkt een geïnfecteerde versie van een extensie die eerder veilig leek.
Tot de risicovolle extensies behoren onder andere:
- Color Picker, Eyedropper — Geco colorpick
- Emoji keyboard online — copy&paste your emoji
- Volume Max — Ultimate Sound Booster
- Dark Theme — Dark Reader for Chrome
- Unlock TikTok, Unlock YouTube VPN, Free Weather Forecast en meer.
In totaal zijn meer dan 2,3 miljoen gebruikers getroffen via zowel Chrome als Microsoft Edge, waar soortgelijke extensies met nog eens 600.000 installaties zijn ontdekt.
Advies
Gebruikers wordt dringend geadviseerd om deze extensies direct te verwijderen, hun browsegeschiedenis te wissen, systemen te scannen op malware en hun online accounts goed in de gaten te houden voor verdachte activiteiten.