We hebben allemaal waarschijnlijk wel eens een browserextensie geïnstalleerd: een adblocker, een online vertaler, een spellingscontrole of iets anders. Maar weinig van ons denken daarbij na of dat wel veilig is. Helaas kunnen deze schijnbaar onschuldige mini-apps veel gevaarlijker zijn dan ze op het eerste gezicht lijken. Laten we eens kijken wat er mis zou kunnen gaan. Hiervoor gebruiken we gegevens uit het recente rapport van onze experts over de meest voorkomende families van schadelijke browserextensies.
Wat zijn extensies en wat doen ze eigenlijk?
Laten we beginnen met het vaststellen van de basisdefinitie en de kern van het probleem. Een browserextensie is een plug-in die functionaliteit aan uw browser toevoegt. Ze kunnen bijvoorbeeld advertenties op webpagina’s blokkeren, notities maken, spelling controleren en nog veel meer. Voor populaire browsers zijn er officiële extensiewinkels die helpen bij het selecteren, vergelijken en installeren van de plug-ins die u zoekt. Maar extensies kunnen ook worden geïnstalleerd via onofficiële bronnen.
Het is belangrijk op te merken dat een extensie om zijn werk te kunnen doen toestemming nodig heeft om de inhoud van webpagina’s die u in de browser bekijkt te lezen en te wijzigen. Zonder deze toegang is de extensie hoogstwaarschijnlijk volkomen nutteloos.
In het geval van Google Chrome vereisen extensies de mogelijkheid om all uw gegevens all op de websites die u bezoekt te lezen en wijzigen. Dat is nogal wat, nietwaar? Maar zelfs officiële winkels besteden er weinig aandacht aan.
In de officiële Chrome Web Store staat in het Privacybeleid van de populaire Google Translate-extensie bijvoorbeeld dat het informatie verzamelt over de locatie, gebruikersactiviteit en website-inhoud. Maar het feit dat het toegang moet hebben tot alle gegevens van alle websites om te kunnen werken, wordt niet aan de gebruiker onthuld totdat die de extensie installeert.
Veel, zo niet de meeste gebruikers zullen dit bericht waarschijnlijk niet eens lezen en zullen automatisch op Extensie toevoegen klikken om de plug-in meteen te gaan gebruiken. Dit alles biedt cybercriminelen de gelegenheid om adware en zelfs malware te verspreiden onder het mom van wat onschuldige extensies lijken te zijn.
Wat adware-extensies betreft: het recht om de weergegeven inhoud te wijzigen stelt hen in staat advertenties te tonen op de sites die u bezoekt. In dit geval verdienen de makers van de extensie geld aan gebruikers die op getraceerde affiliate links naar websites van adverteerders klikken. Voor beter gerichte advertentie-inhoud kunnen ze ook uw zoekopdrachten en andere gegevens analyseren.
Wat betreft schadelijke extensies is het nog erger. Toegang tot de inhoud van alle bezochte websites stelt een aanvaller in staat bankkaartgegevens, cookies en andere gevoelige informatie te stelen. Laten we eens naar een aantal voorbeelden kijken.
Malafide tools voor Office-bestanden
De afgelopen jaren hebben cybercriminelen actief schadelijke WebSearch adware-extensies verspreid. Leden van deze familie zijn meestal vermomd als hulpmiddelen voor Office-bestanden, bijvoorbeeld voor Word-naar-pdf-conversie.
De meesten doen zelfs wat ze moeten doen. Maar na de installatie vervangen ze de gebruikelijke browser-homepagina door een mini-site met een zoekbalk en getrackte affiliate links naar bronnen van derden, zoals AliExpress of Farfetch.
Eenmaal geïnstalleerd verandert de extensie ook de standaard zoekmachine in search.myway. Hierdoor kunnen cybercriminelen zoekopdrachten van gebruikers opslaan en analyseren en hen met meer relevante links op basis van hun interesses voeden.
WebSearch-extensies zijn momenteel niet meer beschikbaar in de officiële Chrome-winkel, maar ze kunnen nog wel worden gedownload via bronnen van derden.
Adware add-on die u niet met rust laat
Leden van DealPly, een andere veel voorkomende familie van adware-extensies, komen meestal samen met illegale inhoud die is gedownload van dubieuze sites op de computers van mensen terecht. Ze werken ongeveer op dezelfde manier als WebSearch-plug-ins.
DealPly-extensies vervangen ook de browser-homepagina met een mini-site met affiliate links naar populaire digitale platforms, en net als schadelijke WebSearch-extensies vervangen ze de standaard zoekmachine en analyseren ze de zoekopdrachten van de gebruiker om meer op maat gemaakte advertenties te maken.
Bovendien is het uiterst moeilijk om van de leden van de DealPly-familie af te komen. Zelfs als de gebruiker de adware-extensie verwijdert, zal deze telkens als de browser wordt geopend opnieuw op het apparaat worden geïnstalleerd.
AddScript deelt ongewenste cookies uit
Extensies van de AddScript-familie doen zich vaak voor als tools voor het downloaden van muziek en video’s van sociale netwerken of als proxyserverbeheerders. Bovenop deze functionaliteit infecteren ze echter het apparaat van het slachtoffer met schadelijke code. De aanvallers gebruiken deze code vervolgens om video’s op de achtergrond te bekijken zonder dat de gebruiker het merkt en verdienen aan het opvoeren van het aantal views.
Een andere bron van inkomsten voor cybercriminelen is het downloaden van cookies op het apparaat van het slachtoffer. Over het algemeen worden cookies op het apparaat van de gebruiker opgeslagen wanneer deze een website bezoekt, en kunnen ze worden gebruikt als een soort digitale marker. In een normale situatie beloven affiliate sites klanten naar een legitieme site te brengen. Hiervoor lokken ze gebruikers naar hun eigen website, wat, nogmaals, in een normale situatie gebeurt door middel van interessante of nuttige inhoud. Vervolgens slaan ze een cookie op de computer van de gebruiker op, en sturen ze die met een link naar de doelsite. Met behulp van deze cookie weet de site waar de nieuwe klant vandaan komt en betaalt hij de partner een vergoeding. Soms is dit voor de doorverwijzing zelf, en soms een percentage van een eventuele aankoop, en soms voor een bepaalde actie, zoals registratie.
AddScript-exploitanten maken gebruik van een schadelijke extensie om deze regeling te misbruiken. In plaats van echte websitebezoekers naar partners te sturen, downloaden ze meerdere cookies op de besmette apparaten. Deze cookies dienen als markers voor het partnerprogramma van de oplichters, en de AddScript-exploitanten ontvangen een vergoeding. In werkelijkheid trekken ze helemaal geen nieuwe klanten aan, en hun “partner”-activiteit bestaat uit het infecteren van computers met deze schadelijke extensies.
FB Stealer — een cookiedief
FB Stealer, een andere familie van schadelijke extensies, werkt op een andere manier. In tegenstelling tot AddScript downloaden leden van deze familie geen “extra’s” naar het apparaat, maar stelen ze belangrijke cookies. Dat gaat als volgt in zijn werk:
De FB Stealer-extensie komt op de apparaten van gebruikers terecht samen met de NullMixer Trojan, die slachtoffers meestal oppikken wanneer ze een gehackte software-installer proberen te downloaden. Eenmaal geïnstalleerd, wijzigt de trojan het bestand dat wordt gebruikt voor het opslaan van de Chrome-browserinstellingen, inclusief informatie over extensies.
Na activering doet FB Stealer zich voor als de Google Translate-extensie, zodat gebruikers er niets achter zoeken. De extensie ziet er erg overtuigend uit, het enige nadeel voor de aanvallers is de waarschuwing van de browser dat de officiële winkel geen informatie over de extensie bevat.
Leden van deze familie vervangen ook de standaardzoekmachine van de browser, maar dat is niet het ergste aan deze extensies. De belangrijkste functie van FB Stealer is het stelen van sessiecookies van gebruikers van ’s werelds grootste sociale netwerk, vandaar de naam. Dit zijn dezelfde cookies die ervoor zorgen dat u niet hoeft in te loggen telkens wanneer u de site bezoekt – en waarmee aanvallers dus ook zonder wachtwoord toegang kunnen krijgen. Als ze op die manier een account hebben gekaapt, kunnen ze bijvoorbeeld vrienden en familieleden van het slachtoffer berichten sturen om om geld te vragen.
Zo blijft u veilig
Browserextensies zijn nuttige hulpmiddelen, maar het is belangrijk ze met voorzichtigheid te behandelen en te beseffen dat ze lang niet zo onschadelijk zijn als men zou denken. Daarom bevelen wij de volgende veiligheidsmaatregelen aan:
- Download alleen extensies via officiële bronnen. Vergeet niet dat dit geen waterdichte veiligheidsgarantie is: ook schadelijke extensies slagen er zo nu en dan in de officiële winkels binnen te dringen. Dergelijke platforms geven echter meestal om de veiligheid van de gebruiker, en slagen er uiteindelijk in om schadelijke extensies te verwijderen.
- Installeer niet teveel extensies en controleer regelmatig de lijst met geïnstalleerde extensies. Als u iets ziet dat u niet zelf geïnstalleerd hebt, is dat een teken dat er iets niet pluis is.
- Gebruik een betrouwbare beveiligingsoplossing.