Een onbekende dreigingsacteur is toegeschreven aan het creëren van verschillende kwaadaardige chroombrowserverlengingen sinds februari 2024 die zich vermomt als schijnbaar goedaardige hulpprogramma’s, maar verborgen functionaliteit opnemen om gegevens te exfiltreren, commando’s te ontvangen en willekeurige code uit te voeren.
“De acteur maakt websites die zich vermoeden als legitieme services, productiviteitstools, advertentie- en media -creatie- of analyse -assistenten, VPN -services, crypto, bankieren en meer om gebruikers te sturen om overeenkomstige kwaadaardige uitbreidingen te installeren op de Chrome Web Store van Google (CWS),” het Domaintools Intelligence (DTI) -team dat in een rapport wordt gescheiden met het hackersnieuws.
Terwijl de browser-add-ons de geadverteerde functies lijken te bieden, maken ze ook inloggegevens en cookie-diefstal, sessiekaping, advertentie-injectie, kwaadaardige omleidingen, verkeersmanipulatie en phishing mogelijk via DOM-manipulatie.
Een andere factor die in het voordeel van de extensies werkt, is dat ze zijn geconfigureerd om zichzelf overmatige machtigingen te verlenen via het manifest.json-bestand, waardoor ze kunnen communiceren met elke site die in de browser is bezocht, willekeurige code uit te voeren die is opgehaald uit een aanvaller-gecontroleerd domein, kwaadaardige omleidingen uitvoeren en zelfs injecteren advertenties.
De extensies zijn ook gebleken om te vertrouwen op de “onreset” -gebeurtenishandler op een tijdelijk Document Object Model (DOM) -element om code uit te voeren, waarschijnlijk in een poging om Content Security Policy (CSP) te omzeilen.
Sommige van de geïdentificeerde kunstaaswebsites doen zich voor als legitieme producten en diensten zoals Deepseek, Manus, Debank, Fortivpn en sitestatistieken om gebruikers te verleiden de extensies te downloaden en te installeren. De add-ons gaan vervolgens over naar het oogsten van browserkoekjes, haal willekeurige scripts van een externe server op en zetten een WebSocket-verbinding in om te fungeren als een netwerkproxy voor verkeersroutering.
Er is momenteel geen zichtbaarheid in hoe slachtoffers worden omgeleid naar de nep -sites, maar Domaintools vertelde de publicatie dat het gebruikelijke methoden zoals phishing en sociale media zou kunnen omvatten.
“Omdat ze in zowel Chrome Web Store verschijnen en aangrenzende websites hebben, kunnen ze terugkeren van als resultaten in normale zoekopdrachten op het web en voor zoekopdrachten in de Chrome -winkel,” zei het bedrijf. “Veel van de kunstaaswebsites gebruikten Facebook -tracking -ID’s, wat sterk suggereert dat ze op een bepaalde manier Facebook / meta -apps gebruiken om sitebezoekers aan te trekken. Mogelijk via Facebook -pagina’s, groepen en zelfs advertenties.”
Op basis van schrijven is het niet bekend wie achter de campagne zit, hoewel de dreigingsacteurs meer dan 100 nepwebsites en kwaadaardige chromen extensies hebben opgezet. Google van zijn kant heeft de extensies verwijderd.
Om risico’s te verminderen, wordt gebruikers geadviseerd om bij geverifieerde ontwikkelaars te blijven voordat extensies worden gedownload, gevraagde machtigingen bekijk, beoordelingen onder de loep nemen en afzien van het gebruik van lookalike extensies.
Dat gezegd hebbende, het is ook de moeite waard om in gedachten te houden dat beoordelingen kunnen worden gemanipuleerd en kunstmatig kunnen worden opgeblazen door negatieve gebruikersfeedback te filteren.
Domaintools, in een analyse die eind vorige maand werd gepubliceerd, vonden het bewijs van uitbreidingen die zich voordoen als Deepseek dat omgeleide gebruikers lage beoordelingen (1-3 sterren) naar een privé-feedbackformulier op het AI-Chat-Bot (.) Pro Domain verstrekt, terwijl ze die verzenden van hoge ratings (4-5 sterren) naar de officiële chome web store reviewpagina.
