Nieuwe malware treft 300.000 gebruikers met frauduleuze Chrome- en Edge-extensies

Er is een wijdverspreide malwarecampagne gaande waarbij valse extensies voor Google Chrome en Microsoft Edge worden geïnstalleerd via een trojan die wordt verspreid via nepwebsites die zich voordoen als populaire software.

“De trojan-malware bevat verschillende uitkomsten, van eenvoudige adware-extensies die zoekopdrachten kapen tot geavanceerdere kwaadaardige scripts die lokale extensies leveren om privégegevens te stelen en verschillende opdrachten uit te voeren”, aldus het onderzoeksteam van ReasonLabs in een analyse.

“Deze trojan-malware bestaat al sinds 2021 en is afkomstig van imitaties van downloadwebsites met add-ons voor online games en video’s.”

De malware en de extensies hebben samen een bereik van minimaal 300.000 gebruikers van Google Chrome en Microsoft Edge, wat aangeeft dat de activiteit een brede impact heeft.

De kern van de campagne is het gebruik van malvertising om vergelijkbare websites die bekende software promoten, zoals Roblox FPS Unlocker, YouTube, VLC Media Player, Steam of KeePass, ertoe aan te zetten gebruikers die naar deze programma’s zoeken, ertoe aan te zetten een trojan te downloaden, die vervolgens als kanaal dient voor de installatie van de browserextensies.

De digitaal ondertekende kwaadaardige installatieprogramma’s registreren een geplande taak die op zijn beurt is geconfigureerd om een ​​PowerShell-script uit te voeren dat verantwoordelijk is voor het downloaden en uitvoeren van de volgende fase van de payload die is opgehaald van een externe server.

Malware

Dit omvat het aanpassen van het Windows-register om de installatie van extensies uit de Chrome Web Store en Microsoft Edge Add-ons af te dwingen. Deze extensies kunnen zoekopdrachten op Google en Microsoft Bing kapen en deze omleiden via door aanvallers gecontroleerde servers.

“De extensie kan niet door de gebruiker worden uitgeschakeld, zelfs niet met de ontwikkelaarsmodus ‘AAN'”, aldus ReasonLabs. “Nieuwere versies van het script verwijderen browserupdates.”

Het start ook een lokale extensie die rechtstreeks van een command-and-control (C2)-server wordt gedownload en die uitgebreide mogelijkheden biedt om alle webaanvragen te onderscheppen en naar de server te sturen, opdrachten en gecodeerde scripts te ontvangen en scripts in alle pagina’s te injecteren en te laden.

Bovendien kaapt het zoekopdrachten van Ask.com, Bing en Google en stuurt deze via de servers van het bedrijf door naar andere zoekmachines.

Dit is niet de eerste keer dat soortgelijke campagnes in het wild zijn waargenomen. In december 2023 beschreef het cybersecuritybedrijf een andere Trojan-installer die via torrents werd geleverd en die kwaadaardige webextensies installeert die zich voordoen als VPN-apps, maar die in werkelijkheid zijn ontworpen om een ​​”cashback-activiteitshack” uit te voeren.

Thijs Van der Does