Er blevet installeret over 4 millioner gange: Slet disse browserudvidelser med det samme

Flere populære browserudvidelser, som gennem årene er blevet installeret millioner af gange, viser sig at indeholde spyware. Den avancerede kampagne viser, at der stadig er alt for lidt kontrol med browserudvidelser, som derfor kan være en guldgrube for cyberkriminelle.

ShadyPanda har vist sig at være aktiv siden 2018, men først for nylig (via Koi Security) er det blevet klart, hvor omfattende og sofistikeret operationen er. Det hele begyndte med uskyldige browserudvidelser med funktioner som nye faneblade, baggrunde og små værktøjer til produktivitet.

I løbet af de seneste år blev disse udvidelser installeret mere end 4,3 millioner gange, men midt i 2024 blev nogle af dem ændret og udstyret med spyware. Det skriver TechPulse.

En af udvidelserne var Clean Master, som endda var verificeret og promoveret af Google selv. Det skabte naturligvis tillid og tiltrak flere brugere, som senere kunne blive ofre for ondsindede opdateringer.

Kernen i bedraget ligger i den automatiske opdatering for browserudvidelser. Når en udvidelse først er godkendt, er der meget lidt kontrol – og netop det manglende tilsyn kan cyberkriminelle udnytte. Browserudvidelser kan dermed fungere som et ægte trojansk hest for at mislede brugere.

Fra småsvindel til fuld kontrol

I begyndelsen beskæftigede ShadyPanda sig med såkaldt affiliate-svindel. Udvidelserne injicerede i hemmelighed tracking-links på websites som eBay, Amazon og Booking.com.

Hvis brugerne købte noget gennem disse links, modtog angriberne en kommission. Det forårsagede ikke direkte skade, men blev dog stadig betragtet som værende bedragerisk.

I 2023 begyndte det hele at blive mere alvorligt. Udvidelserne omdirigerede forespørgsler til tvivlsomme søgemaskiner, og cookies blev opsnappet.

I 2024 kom det virkelige gennembrud, da to bagdøre blev bygget ind, der hver time – eller mindst ved hver opstart af browseren – downloadede og udførte ny, skadelig kode.

Siden midten af 2024 har angriberne via disse inficerede udvidelser haft fuld kontrol over deres ofres browsere. De kunne se alt – fra besøgte websites og indtastede søgninger til museklik og scroll-adfærd.

Ved hjælp af digitale fingeraftryk var det også muligt at følge ofrene over længere tid og dermed opbygge detaljerede brugerprofiler. Med en af udvidelserne, WeTab, kunne dette endda ske i stor skala. Denne udvidelse alene skulle være installeret omkring 3 millioner gange.

I teorien var det også muligt at kapre aktive browsersessioner og for eksempel logge ind på ofres konti for at stjæle penge eller følsomme oplysninger. I praksis skete dette dog ikke ofte. Systemet virker nemlig automatiseret og fokuserer på at indsamle data i stor skala.

At målrette individuelle ofre passer ikke ind i denne strategi og ville desuden tiltrække for meget opmærksomhed. Sådanne former for spyware forbliver helst aktiv i stilhed så længe som muligt.

Fjern disse udvidelser nu

Brugere, der har en eller flere af nedenstående udvidelser installeret, rådes til straks at slette dem. Derudover bør du også ændre dine adgangskoder og øvrige loginoplysninger med det samme.

• Clean Master: the best Chrome Cache Cleaner
• Speedtest Pro-Free Online Internet Speed Test
• BlockSite
• Address bar search engine switcher
• SafeSwift New Tab
• Infinity V+ New Tab
• OneTab Plus: Tab Manage & Productivity
• WeTab 新标签页
• Infinity New Tab for Mobile
• Infinity New Tab (Pro)
• Infinity New Tab
• Dream Afar New Tab
• Download Manager Pro
• Galaxy Theme Wallpaper HD 4k HomePage
• Halo 4K Wallpaper HD HomePage

Den omfattende spywarekampagne viser, at opdateringssystemet for browserudvidelser langt fra er immun over for misbrug. Den fleksible opdateringspolitik er tiltænkt hurtige sikkerhedsopdateringer, men kan lige så let udnyttes.

En godkendt udvidelse skaber tillid, men er ikke nødvendigvis sikker, hvis kontrollen efterfølgende er utilstrækkelig. Endnu en gang bliver vi mindet om, at misbrug af tillid fortsat er en af de største trusler inden for cybersikkerhed.