2,3 millioner brugere ramt af ondsindede Chrome- og Edge-udvidelser: Tjek om det gælder dig

Forskere fra Koi Security har opdaget 18 skadelige browserudvidelser, der har inficeret hele 2,3 millioner brugere i Chrome og Edge. Udvidelserne kunne hentes via de officielle butikker til begge browsere. Opdagelsen har fået navnet RedDirection.

Udvidelserne foregiver at være populære produktivitets- og underholdningsværktøjer – såsom emoji-tastaturer, farvevælgere, vejrapps, VPN’er og YouTube-unblockere – ifølge Idan Dardikman, forsker ved Koi Security. De fungerer som lovet, hvilket gør dem vanskelige at mistænke som skadelige.

Udvidelserne var ikke ondsindede fra begyndelsen. Den skadelige kode blev indført senere via opdateringer. Nogle af dem fungerede derfor fejlfrit i årevis, hvilket får forskerne til at mistænke, at de muligvis er blevet hacket. Det skriver Opgelicht.

Flere af udvidelserne har endda verificeringsmærker, vises fremtrædende i både Chrome Web Store og Microsoft Edge Store og modtager positive anmeldelser – signaler, som normalt tyder på pålidelige apps.

Ondsindet adfærd i baggrunden

Selvom udvidelserne virker uskyldige, foregår der skadelige processer i baggrunden. Malwaren anvender en snedig metode til at overtage browseren. Hver gang brugeren besøger en hjemmeside, sker følgende:

• URL’en for den besøgte side registreres
• Denne information sendes sammen med en unik tracking-ID til hackerens eksterne server
• Serveren sender potentielt et nyt viderestillingslink tilbage
• Browseren omdirigeres automatisk til andre hjemmesider, hvis det bliver beordret

“Du modtager en invitation til et Zoom-møde og klikker på linket. I stedet for at deltage i mødet, opfanger en af de skadelige udvidelser din anmodning og sender dig videre til en falsk side, som hævder, at du skal downloade en ‘kritisk Zoom-opdatering’ for at deltage,” lyder det fra forskerne.

“Du downloader det, der ligner legitim software, men har i virkeligheden installeret ekstra malware, hvilket kan føre til fuld kontrol over din enhed.”

De ondsindede opdateringer er blevet spredt ubemærket, da både Google og Microsoft automatisk opdaterer browserudvidelser. På den måde har over 2,3 millioner brugere installeret malware uden at falde for phishing eller andre fupnumre.

Disse udvidelser er inficerede:

Chrome:

• Emoji Keyboard Online
• Free Weather Forecast
• Unlock Discord
• Dark Theme
• Volume Max
• Unblock TikTok
• Unlock YouTube VPN
• Geco Colorpick
• Weather

Edge:

• Unlock TikTok
• Volume Booster
• Web Sound Equalizer
• Header Value
• Flash Player
• Youtube Unblocked
• SearchGPT
• Unlock Discord

Hvad skal du gøre, hvis du har installeret en af disse udvidelser?

1. Fjern straks de skadelige udvidelser i Chrome og Edge.
2. Ryd browserdata som historik og cookies for at fjerne tracking-ID’er.
3. Kør en komplet malwarescanning for at finde andre mulige infektioner.
4. Tjek dine forskellige konti for mistænkelig aktivitet – især hvis du har besøgt følsomme sider som netbank. Skift adgangskoder og aktiver multi-faktor-godkendelse.
5. Hold dine enheder opdateret med de nyeste sikkerhedsrettelser.