LayerX heeft meer dan 40 schadelijke browserextensies geïdentificeerd die deel uitmaken van drie afzonderlijke phishingcampagnes.
De eerste detectie van deze campagne werd gedaan door de DomainTools Intelligence (DTI) team, die een lijst met verdachte domeinen geïdentificeerd die communiceerden met browserextensies die zich voordeden als legitieme merken. Hoewel het onderzoek van DTI echter een lijst met kwaadaardige domeinenwerd de volledige lijst met individuele schadelijke extensies niet geïdentificeerd.
Voortbouwend op het initiële onderzoek van DTI onderzocht LayerX de gemarkeerde URL's om de daadwerkelijke metadata van de Chrome-extensies te achterhalen. Door de bijbehorende extensiepagina's te analyseren, kon LayerX het volgende identificeren:
- Extensie-ID's
- Extensienamen
- De uitgevers achter hen
- Metagegevens van de extensie, zoals publicatiedatum, laatste software-update, enz.
Dit onderzoek bracht aan het licht 40+ kwaadaardige extensies, waarvan er veel nog steeds beschikbaar zijn in de Google Chrome Store.
De volledige lijst met extensies vindt u onderaan dit bericht.
Belangrijkste bevindingen uit de LayerX-analyse
Bij nadere analyse van de extensiepagina's en het gedrag ontdekte LayerX een aantal belangrijke patronen en inzichten:
1. Door AI gegenereerde extensiepagina's
De kwaadaardige extensiepagina's vertoonden een zeer vergelijkbare structuur, opmaak en taalgebruik, wat erop wees dat ze waarschijnlijk automatisch gegenereerd waren met behulp van AI-tools. Deze tactiek stelde kwaadwillenden in staat hun inspanningen snel op te schalen naar tientallen neptools met minimale handmatige inspanning.
2. Imitatie van populaire tools en merken
De extensies zijn zorgvuldig ontworpen om bekende platforms na te bootsen, waaronder:
- Fortinet / FortiVPN
- DeepSeek-AI
- Calendly
- YouTube-hulpprogramma's
- Crypto-hulpprogramma's zoals DeBank
Door te vertrouwen op gevestigde namen, omzeilden deze kwaadaardige tools effectief het wantrouwen van gebruikers en konden ze niet gecontroleerd worden tijdens de installatie.
3. Geavanceerde merkmaskering
Ze probeerden zich niet alleen voor te doen als bekende, legitieme extensies en/of merken, ze probeerden er ook op te lijken:
- Geregistreerde domeinnamen die er hetzelfde uitzagen (bijvoorbeeld calendlydaily[.]world en calendly-director[.com], om Calendly te imiteren)
- Voor alle extensies die deel uitmaken van deze campagne waren de uitgever en het e-mailcontactdomein geen privé-Gmail-account, maar een onafhankelijk domein, om het geloofwaardiger te laten lijken
- De contact-e-mailadressen volgden een standaardformaat van “support@domeinnaam”, wat opnieuw meer geloofwaardigheid gaf en het deed lijken alsof er een legitieme uitgever achter zat
Deze extensies geven aanvallers blijvende toegang tot gebruikersessies, waardoor gegevensdiefstal, identiteitsfraude en mogelijke toegang tot bedrijfsomgevingen mogelijk worden.
Hoe organisaties kunnen reageren
De huidige golf van kwaadaardige extensies legt een belangrijke blinde vlek bloot in de beveiligingshouding van veel organisaties: de browser zelf. Zo kunnen organisaties proactieve stappen ondernemen om de risico's te beperken:
1. Blokkeer kwaadaardige extensies op basis van extensie-ID
Organisaties kunnen kwaadaardige extensies handmatig blokkeren via MDM of browserbeleid. Deze methode is echter vaak arbeidsintensief en vereist dat beveiligingsteams extensie-ID's bijhouden, nieuwe bedreigingen in de gaten houden en vrijwel in realtime reageren.
2. Handhaaf de extensiehygiëne
Basishygiënebeleid voor browserextensies toepassen:
- Blokkeer extensies van onbekende of niet-geverifieerde uitgevers
- Beperk de installatie van jonge aanbouwen (recent gepubliceerd)
- Vlagextensies met een laag aantal beoordelingen of ongebruikelijke toestemmingsverzoeken
- Vermijd tools die verband houden met verdachte domeinen of domeinen die het merk spoofen
3. Blokkeer extensies, zelfs als ze uit de Chrome Store zijn gehaald
Hoewel sommige gecompromitteerde extensies al uit de Google Chrome Store zijn verwijderd, worden hiermee de actieve installaties niet uit de browsers van gebruikers verwijderd. Gebruikers en organisaties moeten deze daarom handmatig verwijderen.
Hoe LayerX kan helpen
LayerX biedt een speciaal ontwikkeld browserbeveiligingsplatform dat extensies continu in realtime monitort en evalueert. Het biedt volledige detectie van alle extensies, automatische risicoclassificatie en gedetailleerde handhavingsopties om kwaadaardige extensies te blokkeren.
Het kan onder andere:
- Blokkeer automatisch schadelijke of risicovolle extensies
- Detecteer extensies die verdachte acties uitvoeren, zoals het stelen van cookies, het injecteren van scripts, enz.
- Beheerders toestaan om extensiebeleid in de hele organisatie in te stellen en af te dwingen
- Blijf op de hoogte van snel veranderende bedreigingen via telemetrie en bedreigingsinformatie
Voor organisaties die zich zorgen maken over de dreiging van hun browserextensies, biedt LayerX een gratis browserextensieaudit aan. De audit omvat het detecteren van alle browserextensies die in uw omgeving zijn geïnstalleerd, het in kaart brengen van welke gebruikers welke extensies hebben geïnstalleerd en het geven van bruikbare aanbevelingen om blootstelling aan schadelijke extensies te verhelpen.
Klik hier om u aan te melden voor de aanvullende extensie-audit.
Lijst met kwaadaardige extensie-ID's:
| Extensie-ID | Extensienaam | Uitgever |
| ccollcihnnpcbjcgcjfmabegkpbehnip | FortiVPN | https://forti-vpn[.]com/ |
| aeibljandkelbcaaemkdnbaacppjdmom | Manus AI | Gratis AI-assistent | https://manusai[.]sbs |
| fcfmhlijjmckglejcgdclfneafoehafm | Site Stats | https://sitestats[.]world |
| abbngaojehjekanfdipifimgmppiojpl | Generator voor kledingmerknamen | https://clothingbrandnamegenerator[.]app |
| dohmiglipinohflhapdagfgbldhmoojl | DeBank – Digitale activa | winchester[.]abram37 |
| acmiibcdcmaghndcahglamnhnlmcmlng | AML-sector | Gratis Crypto AML-checker | https://amlsector[.]com |
| mipophmjfhpecleajkijfifmffcjdiac | Visie van Crypto Whales | https://cryptowhalesvision[.]world |
| cknmibbkfbephciofemdjndbgebggnkc | Calendly Daily | Gratis software voor het plannen van vergaderingen | https://calendly-daily[.]com |
| gmigkpkjegnpmjpmnmgnkhmoinpgdnfc | Calendly Docket | Gratis software voor het plannen van vergaderingen | https://calendly-docket[.]com |
| ahgccenjociolkbpgbfibmfclcfnlaei | CreativeHunter – Gratis tool voor Facebook | https://creativehunter[.]world |
| kjhjnbdjonamibpaalanflmidplhiehe | Tweelingweb | https://twin-web[.]world |
| pobknfocgoijjmokmhimkfhemcnigdji | EventSphere | https://eventphere[.]com |
| iclckldkfemlnecocpphinnplnmijkol | SQLite-browser | https://sqlitebrowser[.]app |
| jmpcodajbcpgkebjipbmjdoboehfiddd | DeepSeek AI-chat | https://ai-chat-bot[.]pro |
| ihdnbohcfnegemgomjcpckmpnkdgopon | AI-zinherschrijver | https://ai-sentence-rewriter[.]com |
| oeefjlikahigmlnplgijgeeecbpemhip | Converteer PDF naar JPG | https://pdf-to-jpg[.]app |
| aofddmgnidinflambjlfkpboeamdldbd | HTML-validator | https://htmlvalidator[.]app |
| acchdggcflgidjdcnhnnkfengdcmldae | CMS-controleur | https://cmschecker[.]app |
| albakpncdngcejcjdahomfbkakbmafgb | Uurloon naar salaris calculator | https://hourlytosalarycalculator[.]app |
| hhlcpmdhlcoghhfgiiopcjbkfmdliknc | CSS-validator | https://cssvalidator[.]app |
| eheagnmidghfknkcaehacggccfiidhik | E-mailcontrole – e-mailadres verifiëren met één klik | https://email-checker[.]pro |
| ckcfkaikieiicfdeomgehmnjglnofhde | Crypto Whale Alert – Blockchain-transactiegegevens | https://crypto-whale[.]top |
| pbpobpjppnecgcinajfpaninmjkdbidm | Webanalyse – Websiteverkeer & SEO-checker | https://web-analytics[.]top |
| gdfjahfbaillhkeigeinoomhjnfajbon | Ad Vision – Gratis Ad Spy-tool voor Facebook | https://ad-vision[.]click |
| eoalbaojjblgndkffciljmiddhgjdldh | Madgicx Plus – De SuperApp voor Meta-adverteerders | https://madgicx-plus[.]com |
| odhmhkkhpibfjijmpgcdjondompgocog | Similar Net – Websiteverkeer & SEO-checker | https://similar-net[.]com |
| ohhhngpnknpdhmdmpmoccgjmmkkleipn | Meta Spy – Gratis advertentie-spionagetool voor Facebook | https://meta-spy[.]help |
| nejfdccopmpimplhmmdfjobodgeaoihd | Gratis VPN – Wasbeer | Onbeperkte VPN | https://raccoon-vpn[.]world |
| dhhmopcmpiadcgchhhldcpoeppcofdic | Gratis VPN – Orchid | Onbeperkte VPN | https://orchid-vpn[.]com |
| ffmfnniephcagojkpjddjiogjeoijjgl | Gratis VPN – Soul VPN Onbeperkte VPN-proxy | https://soul-vpn[.]com |
| nabbdpjneieneepdfnmkdhooellilgho | Website monitoring | https://websitemonitoring[.]pro |
| mldeggofnfaiinachdeidpecmflffoam | AI-schrijver | https://aiwriter[.]expert |
| pndmbpnfolikhfnfnkmjkkpcgkmaibec | AI-advertentiegenerator | https://aiadgenerator[.]app |
| elipckbifniceedgalakgnmgeimfdcdi | Headline-generator | https://headlinegenerator[.]app |
| kkgmdjjpobmenpkhcclceelekpbnnana | Web Watch | https://webwatch[.]world |
| dcnjgfafcnopabhpgoekkgckgkkddpjg | YouTube Visie | https://youtube-vision[.]world |
| mllkmmdaapekjehapekhjjiednchgmag | Webstatistieken – Websiteverkeer en SEO-checker | https://web-metrics[.]link |
| bhahpmoebdipfoaadcclkcnieeokebnf | Bitcoin-prijs live | https://bitcoin-price[.]live |
| oiiiideaalkijolilhhaibhbjfhbdcnm | Link verkorter | https://u99[.]pro |
