152 Chrome Wallpaper-extensies met 105K-installaties gekoppeld aan adware en nepverkeer

Cyberbeveiliging
152 Chrome Wallpaper-extensies met 105K-installaties gekoppeld aan adware en nepverkeer

Cybersecurity-onderzoekers hebben een netwerk van 152 Google Chrome-extensies ontdekt die fungeren als live wallpaper-add-ons voor nieuwe tabbladen om een ​​mogelijk ongewenste programmafamilie (PUP) te verspreiden.

Het cluster omvat 38 afzonderlijke Chrome Web Store-uitgeversaccounts en drie merkbackends: tabplugins(.)com, yowgames(.)com en chromewallpaper(.)com. Ze zijn gezamenlijk 105.000 keer geïnstalleerd. De namen van enkele van de extensies staan ​​hieronder vermeld:

  • Neymar – Voetbal Live Achtergrond (laafpeklcnlfmjaofbndehkjpnccbhek)
  • Satoru Gojo Manga Live Achtergrond (mnpacdigbockiilmilhbedciadenfdnb)
  • Porsche 911 – Sportwagen Live Wallpaper (dode servicemedewerker) (iedplnnolciaofkakkjmcojnmklpfikg)
  • Satoru Gojo Live Achtergrond (ipiabbhciknabpoihaakdahgghllelpj)
  • Hello Kitty Wallpapers HD Nieuw tabblad (hijpkhinofkdobfagfbobnnoihmopgkk)
  • Pusheen Cat Wallpapers HD Nieuw tabblad (famchdjojcnakamhkddkpaglnkonkfnl)
  • Peach & Goma Wallpapers HD Nieuw tabblad (nomekamioepglinefhenifnbegjhfiai)
  • Spider-Man Miles Morales Swing Live Achtergrond (jjngbcodoldjmpjpfbhfelaljbdlkekh)
  • BMW M3 Neon Night Drive Live Achtergrond (gfikbhpfjldbbikolkcimfgmejhdkjbe)
  • BMW-achtergronden (dbiamdajndfmpmmeklcbbnekhkdcakhf)
  • Death Note Anime Wallpapers HD Nieuw tabblad (pkdloppfapenphihgbldhjjlfhgnkmcg)
  • Sonic Frontiers Starfall Live Achtergrond (imkepemaflommlonnppjobgdpokbfmoj)
  • Tanjiro – Demon Slayer Live Achtergrond (ibglidkppckhminbhbgcajomjplomcka)
  • Neymar nieuwe tabbladachtergrond (gkbfokaephnaajnmpgiieidpfieamggb)
  • Anime Auto Drift Live Achtergrond (bcafgkhoifffmnoajkgmbhcojpabjffm)
  • Kies achtergronden Nieuw tabblad (ojeaociifmdciibodcifjjocdlbjjeep)
  • Anime Regen Live Achtergrond (npcghghfkbpgiamoifabankdnmopenni)
  • Minecraft Sakura Pond Live Achtergrond (mjdhgndjbajnanfimjipafechjbakdhh)
  • Strohoed Live Wallpaper Geest van Tsushima (lblgjffllphdepifdkfhlihddckhlkll)
  • Zenitsu Agatsuma Live Achtergrond (laeciedchhnmnfhllplcgkfcdbdfgdhn)

“Elke vermelding in de Chrome Web Store verklaart dat er geen gebruikersgegevens worden verzameld of gebruikt, terwijl het gekoppelde privacybeleid het tegenovergestelde toegeeft: dat de extensies IP-adressen, ISP, klikaantallen en verwijzingen registreren en die gegevens delen met Google AdSense, DoubleClick en externe advertentiepartners”, aldus Socket-beveiligingsonderzoeker Kush Pandya.

Bovendien definieert een subcluster van de geïdentificeerde extensies twee hardgecodeerde URL’s in een JavaScript-bestand (“js/bg.js”) die worden geactiveerd tijdens installatie- en verwijderingsbewerkingen:

  • De installatie-URL bevat de Urchin Tracking Module-parameters (UTM) ‘utm_source=google&utm_medium=organic&utm_campaign=tanjiro-demon-slayer-live-wallpaper’, waardoor de extensie die tijdens de installatie een tabblad opent, wordt vermomd als een ‘organische’ zoekopdracht.
  • De verwijderings-URL is een omleidingswrapper van google.com/url die de verwijdering vermomt als echte Google-zoekactiviteit.

Organisch zoeken op zoekmachines zoals Gook verwijst naar de onbetaalde vermeldingen op de resultatenpagina van een zoekmachine (SERP), gegenereerd door algoritmen. Hun plaatsing is gebaseerd op parameters zoals relevantie, autoriteit en zoekmachineoptimalisatie (SEO) en verschilt van gesponsorde resultaten.

Het idee achter deze uitbreiding, aldus Socket, is om dat signaal kunstmatig te creëren, wat in wezen neerkomt op het verzinnen van de oorsprong van zijn eigen verkeer.

“Het bezoek is niet een persoon die op Google heeft gezocht; het is de extensie die op zichzelf een tabblad opent en het stempel ‘afkomstig uit de organische zoekresultaten van Google'”, legt het bedrijf uit.

“De verwijderingsping gaat nog een stap verder en verpakt de bestemming in het exacte google.com/url-formaat dat Google gebruikt voor echte klikken op zoekresultaten, inclusief de ondertekende ved- en usg-tokens, zodat de hit lijkt op een mens die op een Google-resultaat klikt.”

De JavaScript-bestanden zijn ook uitgerust met een slapende mogelijkheid om elke IndexedDB-database op te sommen en te verwijderen die deze kan vinden wanneer een servicemedewerker start.

De campagne wordt beschouwd als een “financieel gemotiveerde commerciële adware- en verkeersattributie-fraude-affiliatieoperatie”, hoewel de exacte herkomst onbekend blijft. Beschikbare indirecte indicatoren suggereren dat het afkomstig zou kunnen zijn uit Turkije.

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

De onboarding-wachtwoordfout die onnodig risico met zich meebrengt

Met één klik in de Microsoft 365 Copilot-fout konden aanvallers e-mails, bestanden en MFA-codes stelen

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]