En slitsom etterforskning utført av sikkerhetsforsker Jamila Kaya og Cisco's Duo Security-team har avslørt over 500 ondsinnede Chrome-nettleserutvidelser. Google har nå fjernet de ondsinnede utvidelsene fra Chrome Nettmarked.
Disse utvidelsene kjørte ondsinnede annonser og lastet opp private nettlesingsdata til servere uten brukers samtykke. Forskerne fant at de ondsinnede aktørene hadde operert i minst to år og påvirket rundt 1,7 millioner brukere.
Kaya benyttet seg av Duos gratis automatiserte Chrome-utvidelsesverktøy CRXcavator for de første funnene. Forskeren samarbeidet senere med andre forskere ved Duo for å finne mer bevis.
"Skaperne av Chrome-utvidelser hadde spesielt laget utvidelser som tilslørte den underliggende annonseringsfunksjonaliteten fra brukerne," skrev forskerne i et blogginnlegg. “Dette ble gjort for å koble nettleserklientene til en kommando- og kontrollarkitektur, eksfiltrere private nettleserdata uten brukerens kunnskap, utsette brukeren for risiko for utnyttelse gjennom reklamestrømmer, og forsøke å unngå Chrome Webshops svindeloppdagingsmekanismer. ”
For de som lurer på hvordan disse angriperne klarte å lure på nettleserdataene dine, stolte de primært på plugins som hadde omdirigert brukere til ondsinnede nettsteder. Forskerne påpeker at programtilleggene hadde samme navn som det skadelige nettstedet.
For eksempel fant forskerne lignende kildekode på to plugins, nemlig Mapstrek og Arcadeyum blant andre. De ondsinnede nettstedene som var koblet til programtilleggene, var Mapstrek For å være trygg mot lignende ondsinnede utvidelser, anbefaler forskerne å holde rede på og regelmessig sjekke utvidelsene som er installert i nettleseren din, og fjerne eventuelle mistenkelige.