LayerX har identificeret over 40 ondsindede browserudvidelser, der er en del af tre forskellige phishing-kampagner.
Den indledende opdagelse af denne kampagne blev udført af DomainTools Intelligence (DTI) hold, som identificerede en liste over mistænkelige domæner der kommunikerede med browserudvidelser, der forklædte sig som legitime brands. Men selvom DTI's forskning gav en liste over ondsindede domæner, den identificerede ikke den fulde liste over individuelle ondsindede udvidelser.
Med udgangspunkt i DTI's indledende forskning undersøgte LayerX de markerede URL'er for at afdække de faktiske Chrome-udvidelsesmetadata. Ved at analysere de tilknyttede udvidelsessider har LayerX været i stand til at identificere:
- Udvidelses-ID'er
- Navne på udvidelser
- Forlagene bag dem
- Metadata for udvidelser såsom udgivelsesdato, seneste softwareopdatering osv.
Denne undersøgelse afslørede 40+ ondsindede udvidelser, hvoraf mange stadig findes i Google Chrome Store.
Den fulde liste over udvidelser findes nederst i dette indlæg.
Vigtigste resultater fra LayerX-analysen
Ved nærmere analyse af udvidelsessiderne og adfærden afdækkede LayerX flere vigtige mønstre og indsigter:
1. AI-genererede udvidelsessider
De ondsindede udvidelsessider udviste en meget lignende struktur, formatering og sprog, hvilket peger på sandsynligheden for, at de blev automatisk genereret ved hjælp af AI-værktøjer. Denne taktik gjorde det muligt for trusselsaktører hurtigt at skalere deres indsats på tværs af snesevis af falske værktøjer med minimal manuel indsats.
2. Efterligning af populære værktøjer og mærker
Udvidelserne blev omhyggeligt udformet til at efterligne velkendte platforme, herunder:
- Fortinet / FortiVPN
- DeepSeek AI
- Calendly
- YouTube-hjælpeværktøjer
- Kryptoværktøjer som DeBank
Ved at ride på etablerede navnes tillid omgik disse ondsindede værktøjer effektivt brugernes mistanke og undgik granskning under installationen.
3. Sofistikeret brandmaskering
Det er ikke bare, at de forsøgte at udgive sig for at være kendte, legitime udvidelser og/eller brands, de forsøgte også at ligne hinanden:
- Registrerede domænenavne, der lignede hinanden (f.eks. calendlydaily[.]world og calendly-director[.com], for at efterligne Calendly)
- For alle udvidelser, der var en del af denne kampagne, var udgiver- og e-mailkontaktdomænet ikke en privat Gmail-konto, men et uafhængigt domæne for at gøre det mere troværdigt.
- Kontakt-e-mailadresserne fulgte standardformatet "support@domænenavn", hvilket igen gav mere troværdighed og fik det til at se ud som om, der står en legitim udgiver bag.
Disse udvidelser giver angribere vedvarende adgang til brugersessioner, hvilket muliggør datatyveri, personefterligning og potentiel adgang til virksomhedsmiljøer.
Hvordan organisationer kan reagere
Den nuværende bølge af ondsindede udvidelser fremhæver en central blind plet i mange organisationers sikkerhedspolitik: selve browseren. Sådan kan organisationer tage proaktive skridt for at mindske risiciene:
1. Bloker skadelige udvidelser efter udvidelses-ID
Organisationer kan manuelt blokere ondsindede udvidelser via MDM eller håndhævelse af browserpolitikker. Denne metode er dog ofte arbejdskrævende og kræver, at sikkerhedsteams sporer udvidelses-ID'er, overvåger nye trusler og reagerer næsten i realtid.
2. Håndhæv hygiejne for udvidelser
Anvend grundlæggende hygiejnepolitikker for browserudvidelser:
- Bloker udvidelser fra ukendte eller ubekræftede udgivere
- Begræns installationen af unge udvidelser (nylig udgivet)
- Markér udvidelser med lavt antal anmeldelser eller usædvanlige anmodninger om tilladelser
- Undgå værktøjer forbundet med mistænkelige domæner eller domæner, der forfalsker branding.
3. Bloker udvidelser, selvom de er blevet fjernet fra Chrome Store
Selvom nogle kompromitterede udvidelser allerede er blevet fjernet fra Google Chrome Store, fjerner fjernelse fra butikken ikke aktive installationer fra brugernes browsere. Derfor skal brugere og organisationer manuelt gå ind og fjerne dem.
Hvordan LayerX kan hjælpe
LayerX leverer en specialbygget browsersikkerhedsplatform, der løbende overvåger og evaluerer udvidelser i realtid. Den tilbyder fuld registrering af alle udvidelser, automatisk risikoklassificering og detaljerede håndhævelsesmuligheder for at blokere ondsindede udvidelser.
Blandt andre funktioner kan den:
- Bloker automatisk skadelige eller højrisikoudvidelser
- Registrer udvidelser, der udfører mistænkelige handlinger, såsom at stjæle cookies, indsprøjte scripts osv.
- Tillad administratorer at indstille og håndhæve udvidelsespolitikker i hele organisationen
- Hold trit med hurtigt udviklende trusler via telemetri og trusselsinformation
For organisationer, der er bekymrede over deres trusselsoverflade for browserudvidelser, tilbyder LayerX en gratis browserudvidelsesrevision. Revisionen omfatter registrering af alle browserudvidelser, der er installeret i jeres miljø, kortlægning af hvilke brugere, der har hvilke udvidelser installeret, og handlingsanbefalinger til at afhjælpe eksponering for skadelige udvidelser.
Klik her at tilmelde sig den supplerende forlængelsesrevision.
Liste over skadelige udvidelses-ID'er:
| Udvidelses-ID | Udvidelsesnavn | Forlægger |
| ccollcihnnpcbjcgcjfmabegkpbehnip | FortiVPN | https://forti-vpn[.]com/ |
| aeibljandkelbcaaemkdnbaacppjdmom | Manus AI | Gratis AI-assistent | https://manusai[.]sbs |
| fcfmhlijjmckglejcgdclfneafoehafm | Webstedsstatistik | https://sitestats[.]world |
| abbngaojehjekanfdipifimgmppiojpl | Generator for tøjmærkenavne | https://clothingbrandnamegenerator[.]app |
| dohmiglipinohflhapdagfgbldhmoojl | DeBank – Digitale aktiver | winchester[.]abram37 |
| acmiibcdcmaghndcahglamnhnlmcmlng | AML-sektoren | Gratis krypto-AML-tjekker | https://amlsector[.]com |
| mipophmjfhpecleajkijfifmffcjdiac | Crypto Whales Vision | https://cryptowhalesvision[.]world |
| cknmibbkfbephciofemdjndbgebggnkc | Calendly Daily | Gratis mødeplanlægningssoftware | https://calendly-daily[.]com |
| gmigkpkjegnpmjpmnmgnkhmoinpgdnfc | Calendly Docket | Gratis mødeplanlægningssoftware | https://calendly-docket[.]com |
| ahgccenjociolkbpgbfibmfclcfnlaei | CreativeHunter – Gratis værktøj til Facebook | https://creativehunter[.]world |
| kjhjnbdjonamibpaalanflmidplhiehe | Tvillingeweb | https://twin-web[.]world |
| pobknfocgoijjmokmhimkfhemcnigdji | EventSphere | https://eventphere[.]com |
| iclckldkfemlnecocpphinnplnmijkol | SQLite browser | https://sqlitebrowser[.]app |
| jmpcodajbcpgkebjipbmjdoboehfiddd | DeepSeek AI-chat | https://ai-chat-bot[.]pro |
| ihdnbohcfnegemgomjcpckmpnkdgopon | AI Sentence Rewriter | https://ai-sentence-rewriter[.]com |
| oeefjlikahigmlnplgijgeeecbpemhip | Konverter PDF til JPG | https://pdf-to-jpg[.]app |
| aofddmgnidinflambjlfkpboeamdldbd | HTML validator | https://htmlvalidator[.]app |
| acchdggcflgidjdcnhnnkfengdcmldae | CMS-tjekker | https://cmschecker[.]app |
| albakpncdngcejcjdahomfbkakbmafgb | Timelønberegner | https://hourlytosalarycalculator[.]app |
| hhlcpmdhlcoghhfgiiopcjbkfmdliknc | CSS validator | https://cssvalidator[.]app |
| eheagnmidghfknkcaehacggccfiidhik | E-mail-tjekker – bekræft e-mailadresse med 1 klik | https://email-checker[.]pro |
| ckcfkaikieiicfdeomgehmnjglnofhde | Kryptohvalalarm – Blockchain-transaktionsdata | https://crypto-whale[.]top |
| pbpobpjppnecgcinajfpaninmjkdbidm | Webanalyse – Hjemmesidetrafik og SEO-tjekker | https://web-analytics[.]top |
| gdfjahfbaillhkeigeinoomhjnfajbon | Ad Vision – Gratis annoncespionværktøj til Facebook | https://ad-vision[.]click |
| eoalbaojjblgndkffciljmiddhgjdldh | Madgicx Plus – Superappen til meta-annoncører | https://madgicx-plus[.]com |
| odhmhkkhpibfjijmpgcdjondompgocog | Similar Net – Hjemmesidetrafik og SEO-tjekker | https://similar-net[.]com |
| ohhhngpnknpdhmdmpmoccgjmmkkleipn | Meta Spy – Gratis reklamespionageværktøj til Facebook | https://meta-spy[.]help |
| nejfdccopmpimplhmmdfjobodgeaoihd | Gratis VPN – Raccoon | Ubegrænset VPN | https://raccoon-vpn[.]world |
| dhhmopcmpiadcgchhhldcpoeppcofdic | Gratis VPN – Orchid | Ubegrænset VPN | https://orchid-vpn[.]com |
| ffmfnniephcagojkpjddjiogjeoijjgl | VPN Gratis – Soul VPN Ubegrænset VPN Proxy | https://soul-vpn[.]com |
| nabbdpjneieneepdfnmkdhooellilgho | Webstedsovervågning | https://websitemonitoring[.]pro |
| mldeggofnfaiinachdeidpecmflffoam | AI forfatter | https://aiwriter[.]expert |
| pndmbpnfolikhfnfnkmjkkpcgkmaibec | AI-annoncegenerator | https://aiadgenerator[.]app |
| elipckbifniceedgalakgnmgeimfdcdi | Overskriftsgenerator | https://headlinegenerator[.]app |
| kkgmdjjpobmenpkhcclceelekpbnnana | Webovervågning | https://webwatch[.]world |
| dcnjgfafcnopabhpgoekkgckgkkddpjg | YouTube Vision | https://youtube-vision[.]world |
| mllkmmdaapekjehapekhjjiednchgmag | Webmålinger – Webstedstrafik og SEO-tjekker | https://web-metrics[.]link |
| bhahpmoebdipfoaadcclkcnieeokebnf | Bitcoin-pris live | https://bitcoin-price[.]live |
| oliiideaalkijolilhhaibhbjfhbdcnm | Linkforkorter | https://u99[.]pro |
