Het komt helaas steeds vaker voor: hackers zetten kwaadaardige browser-extensies in om malware te verspreiden. Vooral gebruikers van Google Chrome en Microsoft Edge zijn vaak het slachtoffer. Onder andere het stelen van persoonlijke data en toegang tot je computer voor verdere aanvallen zijn vaak het doel.
Malware via extensies
The Hacker News meldde onlangs dat er een nieuwe malware-campagne gaande is door hackers (via Tom’s Guide). De actie op grote schaal lijkt al actief sinds 2021 en heeft naar schatting al meer dan 300.000 gebruikers getroffen.
Het gevaarlijke aan de uitgelichte malware is dat het op geïnfecteerde pc’s erg hardnekkig is en dus lastig te verwijderen. Zelfs als je de kwaadaardige extensie verwijdert, kan de malware zichzelf steeds reactiveren als je je laptop of pc opnieuw opstart.
Net als bij verschillende andere malware-campagnes op grote schaal maakt de ontdekte campagne gebruik van malvertising: online advertenties om malware te verspreiden. De advertenties kunnen op legitieme websites verschijnen en lijken daardoor op de echte versie.
Hackers creëerden onder andere gekloonde pagina’s van software en diensten zoals Roblox FPS Unlocker, Keepass, YouTube, Steam en VLC. Gebruikers denken, mede door advertenties, dat ze de echte software of extensie installeren. In plaats daarvan downloaden ze een trojan, een pakket dat stiekem malware bevat.
Zo werkt de huidige malware-campagne
In het geval van de huidige malware-campagne wordt een PowerShell-script toegepast. Hackers registreren een ingeplande taak op een kwetsbare pc die de volgende fase downloadt en uitvoert vanaf een onafhankelijke server van henzelf.
In de volgende fase modificeert de malware de Windows Registry van een geïnfecteerde pc. Zo kan de malware het installeren van Chrome- of Edge-extensies forceren, die gebruikt worden voor advertentiefraude. Hiermee kunnen vervolgens zoekresultaten via Google Zoeken en Bing Search worden gekaapt. Het vervelende hieraan is dat niet-getroffen gebruikers worden doorgeleid naar de nepsites, terwijl ze denken dat ze op de officiële website zitten.
Nieuwere versies van de genoemde malware gaan nog een stap verder: het installeren van browser-updates kan worden geblokkeerd, zodat slachtoffers ook kwetsbaar zijn voor andere aanvallen en malware.
Zo verwijder je de malware
ReasonLabs heeft in een blogpost alle bevindingen van de eigen beveiligingsonderzoekers gedeeld. Ook geeft de site instructies hoe je de malware fatsoenlijk van je pc kan verwijderen. Dit vereist wel wat technische kennis: begin hier dus alleen aan als je vaardig bent met computers.
Allereerst moet je de ingeplande taak verwijderen van je pc. Dit doe je door naar het startmenu te gaan of de Windows-toets te gebruiken. Zoek hier vervolgens naar Taakplanner of Task Scheduler. Wanneer je dit opent kan je op Task Scheduler-bibliotheek klikken om alle taken op je pc te tonen. De naam van de malware kan heel verschillend zijn. Wel kan je ze identificeren door taken te openen en dan op Acties te klikken. In de tabel onder Acties kan je Details bekijken. Let hier op een pad dat leidt naar c:\windows\system32 en een PowerShell-script dat eindigt op ‘.ps1’.
ReasonLabs geeft aan dat de taaknaam vaak lijkt op de naam van het PowerShell-script. Als je eenmaal de kwaadaardige taak hebt gevonden, druk je met de rechtermuisknop op de taak en selecteer je Verwijderen.
Hierna moet je de geregistreerde toegangssleutels verwijderen die geforceerd worden via de kwaadaardige extensies in je browser. Dit gaat redelijk hetzelfde als bij de Task Scheduler, maar gaat via de Register-editor. Ook daar kom je terecht door het op te zoeken via het start-menu. Let op: verander niks in de register van je computer tenzij je echt weet wat je doet. Twijfel je, vraag dan een vriend(in) of breng je pc naar een professional.
Met de Register-editor open ga je naar “Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\ExtensionInstallForcelist”. In het rechterpaneel vind je een lijst met extensies met een numerieke waarde als “Naam” en Extension ID als “Data”. Klik hier vervolgens met de rechtermuisknop op en klik op Verwijderen. Dit doe je ook voor de registratiesleutel: “Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Policies\Google\Chrome\ExtensionInstallForcelist.” Voor de Edge vind je het volgende pad: “Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge\ExtensionInstallForcelist”.
Blijf veilig
Er zijn een aantal manieren om te checken of een browser-extensie de echte is. Check allereerst goed wie de maker van de extensie is. We hebben Shazam even als voorbeeld hieronder gezet. De populairste extensies hebben vaak een verificatievinkje naast de website of eigenaar staan, zodat je weet dat het om de echte versie gaat. Ook helpt het om goed te kijken naar de beoordelingen en het aantal gebruikers: bij de betrouwbare extensies loopt dit getal al snel op.
Wanneer je op de pagina van een extensie zit, kan je naar onder scrollen om meer informatie van de ontwikkelaar te bekijken. Onder meer een adres, e-mailadres en de website zijn hier terug te vinden. Bij twijfel of je met de echte extensie te maken hebt, is het verstandig om de website niet te bezoeken.
Houd bovenal altijd vast aan het volgende gegeven: bij twijfel niet downloaden. Liever even zonder een extensie moeten zitten, dan dat je persoonlijke data gestolen wordt en je elektronica onbruikbaar is.
Heb jij weleens malware op je pc, tablet of smartphone gehad? Vertel erover in de reacties!
Reacties
Inloggen of registreren
om een reactie achter te laten
Reden te meer om geen Chrome te gebruiken en een adblocker te gebruiken.
Misschien moeten browsers advertenties eens een keer gaan verbieden. Maar dan is Google failliet denk ik. Dus Google faciliteert alleen malware met zijn software.
Chrome en Edge zijn ook gewoon dezelfde browser.