Gisterochtend begonnen onze oplossingen tal van Google Chrome-gebruikers opeens herhaaldelijke dreigingsmeldingen te geven. Trojan.Multi.Preqw.gen, die Chrome probeerde te downloaden vanaf een website van derden, werd genoemd als de bron van de dreiging. Wij leggen uit wat dit allemaal betekent en hoe u het probleem kunt oplossen.
Schadelijke extensies
Onze experts ontdekten in samenwerking met hun collega’s bij Yandex dat de schuldigen misbruik hadden gemaakt van meer dan twintig browser-extensies om Chrome op de computers van andere gebruikers werk voor ze uit te voeren. Onder de extensies die werden misbruikt om schadelijke activiteiten uit te voeren bevonden zich een aantal vrij populaire: Frigate Light, Frigate CDN en SaveFrom.
Deze extensies, die op de browsers van meer dan 8 miljoen gebruikers staan geïnstalleerd, verkregen op de achtergrond toegang tot een remote server en probeerden schadelijke code te downloaden, een proces dat onze beveiligingssystemen als gevaarlijk detecteerden.
Wat waren de aanvallers van plan en hoe vormde dit een dreiging voor gebruikers?
De aanvallers wilden verkeer naar video’s leiden. In andere woorden: de extensies speelden stiekem bepaalde video’s af in de browsers van gebruikers, waardoor het aantal weergaves op steaming-sites flink zou oplopen.
De onzichtbare videospeler werd alleen geactiveerd als de gebruiker echt aan het browsen was, zodat de onvermijdelijke vertraging van de computer toegewezen zou kunnen worden aan de gebruikelijke lag van Chrome als de browser hevig belast wordt.
Volgens konden gebruikers van sommige van de extensies zo nu en dan het geluid van de video’s die op de achtergrond werden afgespeeld horen.
Daarnaast onderschepten de schadelijke plug-ins toegang tot een sociaal netwerk, waarschijnlijk om het aantal “likes” later te doen toenemen. Ongeacht de daadwerkelijke doeleinden is een gecompromitteerd social media-account iets wat we liever vermijden.
Wat kunt u hiertegen doen?
Als uw beveiligingssysteem dreigingen in Google Chrome of elke andere Chromium-gebaseerde browser begint te detecteren, moet u allereerst de schadelijke plug-ins uitschakelen, aangezien de beveiligingstoepassing hierop reageert. Als u niet zeker weet welke plug-ins gevaarlijk zijn, probeer ze dan één voor één uit te schakelen tot u de juiste vindt.
Yandex heeft van hun kant een aantal extensies in de Yandex.Browser (die Chromium-gebaseerd is) automatisch uitgeschakeld en blijft op zoek gaan naar andere plug-ins die een dreiging vormen.
Als u nog geen Kaspersky-producten gebruikt maar wel vermoedt dat er een gevaarlijke applicatie op uw computer actief is, kan het verstandig zijn om een van onze oplossingen voor thuisgebruikers te installeren. Maar dat is natuurlijk sowieso een goed idee.