Microsoft heeft 119 kwaadaardige browserextensies uit de Microsoft Edge Add-ons Store verwijderd nadat was vastgesteld dat deze extensies schadelijke functionaliteit bevatten. Gezamenlijk waren de extensies naar schatting ongeveer 2,6 miljoen keer geïnstalleerd. Ze deden zich voor als legitieme hulpmiddelen, maar bleken in werkelijkheid ontworpen om gevoelige gegevens te verzamelen, gebruikersaccounts te compromitteren en besmette systemen op afstand verder aan te vallen.
Vermomd als populaire browserhulpmiddelen
De schadelijke extensies presenteerden zich als alledaagse en veelgebruikte browseruitbreidingen. Ze boden ogenschijnlijk handige functies, zoals:
- advertentieblokkers (adblockers);
- VPN-extensies;
- vertaalprogramma's;
- video-downloaders;
- hulpmiddelen voor het beheren van tabbladen;
- productiviteits- en browsertools.
Doordat de extensies een geloofwaardige beschrijving, een professionele uitstraling en in sommige gevallen positieve beoordelingen hadden, wekten zij het vertrouwen van gebruikers. Na installatie bleek echter dat zij veel meer rechten vroegen dan noodzakelijk was voor hun opgegeven functie.
Gevoelige gegevens onderschept
Uit onderzoek bleek dat verschillende extensies waren ontwikkeld om vertrouwelijke informatie te verzamelen. Daarbij ging het onder meer om:
- gebruikersnamen;
- wachtwoorden;
- sessiecookies;
- browsergegevens;
- authenticatietokens;
- tweefactorauthenticatiecodes (2FA).
Met name tijdens het inloggen op online diensten werden ingevoerde gegevens onderschept voordat deze veilig konden worden verwerkt. Hierdoor konden aanvallers accounts overnemen, zelfs wanneer tweefactorauthenticatie was ingeschakeld.
Gericht op WordPress-beheerders
Een deel van de malware richtte zich specifiek op beheerders van WordPress-websites. Zodra een beheerder zich aanmeldde bij het WordPress-dashboard, probeerden de extensies de inloggegevens en actieve sessiecookies buit te maken.
Met gestolen sessiecookies kan een aanvaller in bepaalde gevallen toegang verkrijgen tot een reeds aangemelde beheersessie, zonder opnieuw een wachtwoord te hoeven invoeren. Hierdoor kunnen websites worden aangepast, kwaadaardige code worden geplaatst of extra gebruikersaccounts worden aangemaakt.
Ook Google-accounts doelwit
Naast WordPress waren ook Google-accounts een belangrijk doelwit. Tijdens het inlogproces onderschepten sommige extensies zowel het wachtwoord als de ingevoerde tweefactorauthenticatiecode.
Wanneer een aanvaller beide gegevens tegelijkertijd weet te bemachtigen, kan een account vaak direct worden overgenomen. Dit kan leiden tot toegang tot onder meer Gmail, Google Drive, Google Foto's en andere gekoppelde diensten.
Backdoor voor verdere besmetting
Een bijzonder zorgwekkend onderdeel van de malware was de aanwezigheid van een zogenaamde Remote Code Execution (RCE)-backdoor.
Een backdoor is een verborgen toegangsmethode waarmee aanvallers een besmet systeem op afstand kunnen benaderen. In combinatie met Remote Code Execution kunnen zij aanvullende kwaadaardige software downloaden en uitvoeren, zonder dat de gebruiker hiervan direct iets merkt.
Hierdoor kan een aanvankelijke browserextensie uitgroeien tot een veel ernstigere besmetting waarbij onder andere:
- spyware wordt geïnstalleerd;
- ransomware kan worden verspreid;
- extra wachtwoorden worden verzameld;
- het systeem onderdeel wordt van een botnet;
- langdurige toegang tot het apparaat behouden blijft.
Advertentiefraude
Naast het stelen van gegevens werden verschillende extensies ingezet voor advertentiefraude.
Daarbij injecteerden zij extra advertenties op bezochte websites of manipuleerden bestaande advertentieblokken. Hierdoor konden cybercriminelen advertentie-inkomsten genereren zonder medeweten van de gebruiker of de websitebeheerder. Dergelijk gedrag kan bovendien leiden tot een tragere browser, ongewenste omleidingen naar andere websites en een verhoogd risico op verdere malware-infecties.
Actie van Microsoft
Microsoft heeft alle 119 geïdentificeerde extensies inmiddels uit de Edge Add-ons Store verwijderd. Daarnaast zijn ongeveer negentig ontwikkelaarsaccounts die verantwoordelijk waren voor het publiceren van deze extensies geschorst.
Volgens Microsoft zijn tevens aanvullende maatregelen genomen om de detectie van schadelijke extensies te verbeteren. Nieuwe controles moeten ervoor zorgen dat vergelijkbare malware sneller wordt herkend voordat deze beschikbaar komt voor gebruikers.
Advies aan Edge-gebruikers
Microsoft adviseert gebruikers regelmatig hun geïnstalleerde browserextensies te controleren. Verwijder extensies die niet meer worden gebruikt, onbekend voorkomen of waarvoor geen duidelijke noodzaak bestaat.
Daarnaast is het verstandig om:
- uitsluitend extensies te installeren van betrouwbare en bekende ontwikkelaars;
- kritisch te kijken naar de gevraagde machtigingen van een extensie;
- de browser en het besturingssysteem altijd up-to-date te houden;
- verdachte browseractiviteit, zoals onverwachte advertenties of omleidingen, serieus te nemen;
- belangrijke accounts extra te beveiligen en wachtwoorden direct te wijzigen wanneer er een vermoeden bestaat dat gegevens zijn buitgemaakt.
Gebruikers die vermoeden dat zij één van de betreffende extensies hebben geïnstalleerd, doen er verstandig aan deze onmiddellijk te verwijderen, hun apparaat op malware te controleren en de wachtwoorden van belangrijke accounts te wijzigen. Ook is het raadzaam actieve sessies af te melden en waar mogelijk nieuwe tweefactorauthenticatiecodes of authenticatiesleutels in te stellen om misbruik van eerder onderschepte gegevens te voorkomen.
Door: Drifter
Aanbevolen Reacties
Er zijn geen reacties om weer te geven.
Log in om te reageren
Je kunt een reactie achterlaten na het inloggen
Login met de gegevens die u gebruikt bij softtrack