Eater
100 Chrome-extensies stelen gebruikersgegevens en creëren een achterdeur
Meer dan 20.000 gebruikers hebben schadelijke Chrome-extensies geïnstalleerd die ontworpen zijn om een achterdeur te openen, informatie te stelen of advertenties te injecteren, meldt cybersecuritybedrijf Socket.
Deze kwaadaardige extensies zijn gepubliceerd via vijf verschillende accounts: GameGen, InterAlt, SideGames, Rodeo Games en Yana Project. Ze lijken onderdeel te zijn van een gecoördineerde campagne, gebaseerd op een gedeelde command-and-control (C&C) infrastructuur.
Socket identificeerde 108 extensies die diverse soorten schadelijke activiteiten uitvoeren. De helft daarvan is ontworpen om Google-accounts te stelen via OAuth2, terwijl 45 extensies een universele achterdeur bevatten die willekeurige URL’s opent zodra de browser wordt gestart.
De overige extensies zijn ontworpen om Telegram-sessies te onderscheppen, advertenties te injecteren op YouTube- en TikTok-pagina’s, content scripts toe te voegen aan alle bezochte pagina’s, of vertaalverzoeken via een server van de aanvaller te leiden.
“De 108 extensies zijn gepubliceerd in verschillende productcategorieën: Telegram-sidebarclients, gokspelen zoals gokkasten en Keno, YouTube- en TikTok-verbeteringen, een vertaaltinstrument en diverse hulpprogramma’s voor pagina’s. Elke extensie richt zich op een ander type gebruiker, maar allemaal gebruiken ze dezelfde backend,” aldus Socket.
De extensies bieden de verwachte functionaliteit om geen argwaan te wekken. Tegelijkertijd draait er malafide code op de achtergrond die verbinding maakt met de C&C-servers van de aanvaller om kwaadaardige activiteiten uit te voeren.
Socket geeft speciale aandacht aan de Telegram Multi-account-extensie, die de actieve Telegram Websessie steelt en aanvallers in staat stelt het gebruikersaccount over te nemen door de lokale opslag te overschrijven met door de aanvaller aangeleverde gegevens en Telegram geforceerd te herladen.
Een andere extensie, Web Client for Telegram – Teleside, kan sessies stelen en bevat een achterdeur in het achtergrondscript waarmee de aanvallers direct een schadelijke payload kunnen activeren, zonder de app via de Chrome Web Store te hoeven updaten.
De 54 extensies die Google-accounts kunnen stelen bij het inloggen, bevatten allemaal identieke code die een Google OAuth2 Bearer-token bemachtigt, hiermee gebruikersinformatie opvraagt en de gegevens naar een externe server verzendt.
“Het OAuth-token wordt lokaal gebruikt en verlaat de browser nooit. Wat naar de server van de aanvaller wordt gestuurd, is alleen een permanent identificatiebewijs: het e-mailadres, de naam en de profielfoto van het slachtoffer,” legt Socket uit.
Het achtergrondscript van 45 extensies bevat een identieke functie die bij het opstarten van de browser een URL opent die door de C&C-server is ontvangen, in een nieuw tabblad.
“Er is geen beperking op welke URL de server kan terugsturen. Dit kanaal blijft actief, ook nadat de browser opnieuw is gestart, en werkt onafhankelijk van of de gebruiker de extensie ooit opent,” merkt Socket op.
Het cybersecuritybedrijf meldt dat het alle schadelijke extensies heeft gerapporteerd, maar dat deze niet direct uit de Chrome Web Store zijn verwijderd.
