Ga naar inhoud
  • Drifter

    Door Drifter

    Drifter

    Door Drifter

    Populaire browserextensies blijken Trojaans paard voor grootschalige spywarecampagne

    Uit recent onderzoek is gebleken dat een reeks populaire browserextensies jarenlang ongemerkt spyware hebben verspreid. De extensies, die gezamenlijk miljoenen keren geïnstalleerd werden, bleken onderdeel van een uitgebreide en bijzonder goed verstopte malwareoperatie. Deze campagne toont nogmaals aan hoe kwetsbaar het controlesysteem van browserextensies is en hoe aantrekkelijk deze omgeving blijft voor cybercriminelen.

    Een campagne die al sinds 2018 loopt

    De spyware-operatie, die inmiddels bekendstaat onder de naam ShadyPanda, blijkt al sinds 2018 actief te zijn. Hoewel de malware jarenlang onder de radar wist te blijven, is pas recent duidelijk geworden hoe uitgebreid en geraffineerd de operatie werkelijk was. De aanvallers maakten gebruik van ogenschijnlijk onschuldige extensies die functies aanboden zoals nieuwe tabbladen, wallpapers, downloadtools of productiviteitsfuncties. Deze extensies wekten weinig argwaan en werden in totaal meer dan 4,3 miljoen keer geïnstalleerd.

    Wat deze campagne extra schrijnend maakt, is dat sommige van de betrokken extensies zelfs door Google waren geverifieerd en gepromoot. Een voorbeeld is Clean Master, dat door die status extra betrouwbaar leek. Juist daardoor trokken ze veel gebruikers aan die later slachtoffer werden zodra er een kwaadaardige update werd uitgerold.

    Het misbruik van automatische updates

    De kracht van de aanval schuilt in het updateproces van browserextensies. Zodra een extensie is goedgekeurd door de webwinkel van de browser, wordt er in de praktijk nauwelijks nog controle uitgeoefend op verdere updates. Criminelen kunnen dit misbruiken door een legitieme extensie te kopen of ontwikkelen, een lange periode clean te houden, en pas maanden of jaren later kwaadwillende code toe te voegen via een update. Gebruikers merken dit doorgaans niet, omdat updates automatisch worden uitgevoerd.

    Hierdoor vormen extensies een ideaal Trojaans paard: betrouwbaar van buiten, maar potentieel gevaarlijk zodra de makers de controle misbruiken.

    Van lichte fraude naar volledige browserovername

    2018–2022: stiekeme affiliatefraude

    In de beginjaren bleef de schade relatief beperkt. De geïnfecteerde extensies voerden affiliatefraude uit: onzichtbare trackinglinks werden in websites zoals Amazon, eBay en Booking.com geïnjecteerd. Wanneer gebruikers iets kochten, ontvingen de aanvallers commissies. Deze praktijk berokkende gebruikers weinig directe schade, maar was wel misleidend en bedoeld om geld te verdienen via manipulatie van internetverkeer.

    2023: omleiding van verkeer en dataverzameling

    Vanaf 2023 werd de werkwijze agressiever. De extensies begonnen:

    • zoekopdrachten om te leiden naar onbetrouwbare zoekmachines,
    • cookies en websitegegevens te onderscheppen,
    • gebruikersgedrag op grotere schaal te analyseren.

    2024: volledige controle door ingebouwde achterdeuren

    In 2024 vond de grootste escalatie plaats. De criminelen bouwden twee achterpoortjes in die:

    • bij elke browserstart of elk uur nieuwe kwaadaardige code konden downloaden,
    • deze code direct konden uitvoeren zonder dat de gebruiker dit merkte.

    Vanaf dat moment hadden de aanvallers volledige controle over de browser. Ze konden onder meer:

    • alle bezochte websites uitlezen,
    • ingevoerde zoekopdrachten monitoren,
    • muisbewegingen en scrollgedrag volgen,
    • gedetailleerde digitale vingerafdrukken opstellen om gebruikers langdurig te volgen.

    Met één specifieke extensie, WeTab, die circa 3 miljoen installaties kende, kon deze dataverzameling zelfs op enorme schaal plaatsvinden.

    Hoewel het technisch mogelijk was om browsersessies live over te nemen en accounts van slachtoffers binnen te dringen, lijkt dit slechts sporadisch te zijn gebeurd. De operatie was sterk geautomatiseerd en gericht op massale dataverzameling. Handmatige aanvallen op individuele gebruikers zouden het risico verhogen om ontdekt te worden.

    Verwijder deze extensies onmiddellijk

    Iedereen die een van de onderstaande extensies gebruikt (of recent gebruikt heeft), wordt aangeraden:

    1. de extensie onmiddellijk te verwijderen,
    2. wachtwoorden en andere logingegevens te vernieuwen,
    3. browserprofielen te controleren op verdachte activiteiten.

    Betrokken extensies:

    • Clean Master: the best Chrome Cache Cleaner
    • Speedtest Pro – Free Online Internet Speed Test
    • BlockSite
    • Address bar search engine switcher
    • SafeSwift New Tab
    • Infinity V+ New Tab
    • OneTab Plus: Tab Manage & Productivity
    • WeTab 新标签页
    • Infinity New Tab for Mobile
    • Infinity New Tab (Pro)
    • Infinity New Tab
    • Dream Afar New Tab
    • Download Manager Pro
    • Galaxy Theme Wallpaper HD 4k HomePage
    • Halo 4K Wallpaper HD HomePage

    Door: Drifter

    Ga naar articles

    Feedback Gebruiker

    Aanbevolen Reacties

    Er zijn geen reacties om weer te geven.



    Log in om te reageren

    Je kunt een reactie achterlaten na het inloggen



    Login met de gegevens die u gebruikt bij softtrack

×
×
  • Nieuwe aanmaken...