In 2019 werd onthuld dat een netwerk van browserextensies, voornamelijk voor Chrome, gevoelige gegevens van maar liefst vier miljoen gebruikers had verzameld. De geschraapte gegevens omvatten PII, browsegeschiedenis, medische informatie en meer. Vervolgens werden de gegevens in geld omgezet via een commercialisatieprogramma. Deze inbreuk werd bekend als de DataSpii-incident, en het werpt licht op de mate waarin kwaadaardige browserextensies de privacy van gebruikers en de beveiliging van bedrijfsgegevens in gevaar kunnen brengen.

De afgelopen jaren is het risico op kwaadaardige browserextensies aanzienlijk toegenomen. Schadelijke browserextensies kunnen gevoelige gegevens verzamelen, online activiteiten monitoren, ongewenste advertenties injecteren, verkeer omleiden naar kwaadaardige sites en zelfs de controle over de browser van een gebruiker overnemen. Dit brengt de privacy, veiligheid en algehele online-ervaring van gebruikers en organisaties in gevaar. 

De traditionele endpoint- en netwerkbeveiligingsstack ontbreekt momenteel echter als het gaat om het detecteren en voorkomen van kwaadaardige activiteiten die via browserextensies worden uitgevoerd. In deze blogpost onthullen we hoe kwaadaardige extensies apparaten infiltreren en wat bedrijven ermee kunnen doen versterken hun netwerken.

Deze blogpost is gebaseerd op het rapport ‘Unveiling the Threat of Malicious Browser Extensions’, dat u in zijn geheel kunt lezen hier.

Soorten kwaadaardige extensies

Schadelijke extensies vormen een actief of potentieel risico wanneer ze in een browser worden geïnstalleerd. Er zijn drie soorten kwaadaardige extensies:

  • Aanvankelijk kwaadaardige extensie – Een extensie die door een tegenstander helemaal opnieuw is gemaakt voor kwaadwillige doeleinden.
  • Gecompromitteerde extensie – Een aanvankelijk legitieme extensie die eigendom is geworden van een tegenstander nadat hij de extensie rechtstreeks heeft gekocht of het ontwikkelaarsaccount van de extensie heeft gecompromitteerd.
  • Riskante uitbreiding – Een legitieme extensie met overmatige rechten.

Hoe browserextensies worden geïnstalleerd

Er zijn vijf manieren waarop een kwaadaardige extensie zich in de browser van een slachtoffer kan nestelen:

  1. beheerder – Extensies die centraal worden gedistribueerd door netwerkbeheerders binnen het bedrijf. Dit zijn extensies met expliciete goedkeuring van de organisatie.
  2. Normaal – Extensies gedownload van officiële browserwinkels. Gebruikers installeren extensies door naar de vermelding van een extensie in de browserwebwinkel te gaan. 
  3. Ontwikkeling – Extensies geladen vanaf de lokale computers van werknemers.
  4. sideloaden – Extensies die zijn geïnstalleerd door applicaties van derden, zoals Adobe of andere softwareleveranciers. 
  5. software bijwerken – Het bijwerken van een extensie die door een kwaadwillende is gehackt nadat deze voor de eerste keer is geïnstalleerd en voor legitieme doeleinden is gebruikt.

Uitgebreide machtigingen voor browserextensies

Toestemmingen voor browserextensies zijn de reeks regels die bepalen welke acties een extensie in uw browser mag uitvoeren. Machtigingen worden gevraagd en verleend wanneer gebruikers een extensie installeren, en deze kunnen sterk variëren, afhankelijk van de beoogde functionaliteit van de extensie.

Toestemmingen vormen doorgaans de hoeksteen van op extensies gebaseerde cyberaanvallen. Zodra de extensie is geïnstalleerd, kunnen de machtigingen worden gebruikt om kwaadaardige bewerkingen uit te voeren.

Risicovolle machtigingen zijn onder meer:

  • Cookies
  • Debugger
  • webAanvraag
  • klembord
  • inhoudsinstellingen
  • desktopCaptureֿ\paginaCapture
  • Geschiedenis
  • Privacy
  • volmacht
  • tabbladCapture
  • https://*/*

Voor meer informatie over hoe deze machtigingen ervoor zorgen dat kwaadwillenden apparaten kunnen infiltreren en toegang kunnen krijgen tot gevoelige gegevens: lees het hele rapport.

Hoe schadelijke browserextensies aanvallen

Zodra de extensies zijn geïnstalleerd en toestemming hebben gekregen, kunnen ze de systemen van de organisatie blijven infiltreren. De volledige aanval omvat de volgende stappen:

  1. De tegenstander maakt de extensie of koopt een bestaande en voegt er kwaadaardige code aan toe.
  2. De extensie wordt geüpload naar een webwinkel of naar de server van de tegenstander.
  3. Gebruikers worden verleid om de extensie te installeren via social engineering of door de extensie op de achtergrond te sideloaden.
  4. Eenmaal geïnstalleerd, vraagt ​​de extensie om een ​​reeks machtigingen, zoals toegang tot de browsegeschiedenis, persoonlijke gegevens en meer.
  5. Als de machtigingen zijn verleend, kan de tegenstander zijn kwaadaardige activiteiten via de extensie gaan uitvoeren. Denk bijvoorbeeld aan het meenemen van wachtwoorden, cookies en certificaten die in de browser zijn opgeslagen.
  6. Kwaadwillenden kunnen opgaan in bestaand verkeer door te communiceren met behulp van de OSI-applicatielaagprotocollen.
  7. Tegenstanders kunnen de gegevens die door de extensie worden vastgelegd of geëxtraheerd, via verschillende kanalen exfiltreren. Ze geven vaak de voorkeur aan het gebruik van standaard webprotocollen vanwege het vaak voorkomende gebrek aan inspectie van uitgaand verkeer door firewalls/proxy's.
  8. Er zijn talloze manieren waarop een kwaadwillige, op extensies gebaseerde aanval schade kan veroorzaken, afhankelijk van de bedoelingen van de initiërende dreigingsacteur. Deze omvatten:
  • Schadelijke toegang tot organisatiebronnen met behulp van de verzamelde inloggegevens. 
  • De blootstelling van organisaties aan aanvallen vergroten door gecompromitteerde gegevens op het dark web te verkopen.
  • Gerichte phishing-aanvallen op basis van de verzamelde gegevens van de gebruikers. 
  • Computerkracht verbruiken voor cryptomining.
  • Het injecteren van adware en malvertising om gebruikers om te leiden naar kwaadaardige websites.

Mitigatie: wat kunt u doen?

Chrome verwijdert niet automatisch extensies die niet meer zijn gepubliceerd door de ontwikkelaars of die uit de winkel zijn verwijderd, zelfs niet als ze zijn gemarkeerd als malware. In plaats daarvan is het de verantwoordelijkheid van de gebruiker om de extensie te verwijderen. Dit maakt het des te belangrijker om geavanceerde beveiligingscontroles en -praktijken te implementeren om de browser überhaupt tegen kwaadaardige extensies te beschermen.

Best practices zijn onder meer:

    1. Downloaden van vertrouwde bronnen: Installeer alleen extensies van officiële winkels met browserextensies, zoals de Chrome Web Store voor Google Chrome of de Firefox Add-ons-site voor Mozilla Firefox.
    2. Kijk wanneer de extensie voor het laatst is bijgewerkt: Regelmatige updates zijn vaak een indicatie van een verantwoordelijke ontwikkelaar die kwetsbaarheden aanpakt en zorgt voor compatibiliteit met de nieuwste browserversies. Verouderde extensies missen mogelijk essentiële beveiligingspatches en vormen mogelijk een groter risico op uitbuiting.
    3. Bekijk het gedeelte Privacypraktijken en de website van de extensie: Legitieme extensies bieden doorgaans een duidelijk en beknopt privacybeleid waarin gedetailleerd wordt beschreven hoe gebruikersgegevens worden verzameld, gebruikt en beschermd. Elk gebrek aan dergelijke informatie of een vaag beleid kan alarmsignalen zijn, wat wijst op mogelijk misbruik van gebruikersgegevens.
    4. Onderzoek de extensie: Extensies met een groot aantal downloads, positieve recensies en hoge beoordelingen zijn waarschijnlijk legitiem en veilig in gebruik. Wees voorzichtig met extensies met minimale gebruikersbetrokkenheid, weinig recensies of lage beoordelingen, omdat de betrouwbaarheid ervan twijfelachtig kan zijn.
    5. Controleer machtigingen: Wees op uw hoede als een extensie onnodige of buitensporige machtigingen vraagt ​​die geen verband lijken te houden met de functionaliteit ervan.
    6. Beveiligingssoftware gebruiken: Installeer gerenommeerde antivirus- en antimalwaresoftware die kan helpen bij het detecteren en voorkomen van kwaadaardige extensies.
    7. Wees sceptisch: Als het aanbod van een extensie te mooi lijkt om waar te zijn of beweert gratis illegale inhoud aan te bieden, is het waarschijnlijk kwaadaardig.
    8. Controleer extensies regelmatig: Controleer de extensies die u heeft geïnstalleerd en verwijder alle extensies die u niet meer gebruikt of waarvan u vermoedt dat ze schadelijk zijn.
    9. Gebruik een browserbeveiligingsplatform: Een browserbeveiligingsplatform zoals LaagX scant de browsers van uw personeel om geïnstalleerde kwaadaardige extensies te ontdekken die moeten worden verwijderd. Bovendien analyseert het het gedrag van bestaande browserextensies om te voorkomen dat ze toegang krijgen tot gevoelige browsergegevens. Ten slotte zal het platform voorkomen dat kwaadwillenden toegang krijgen tot het brede scala aan inloggegevens die in uw browser zijn opgeslagen, om MFA-bypass en mogelijke accountovername te voorkomen

Voor meer details over elke mitigatiestrategie, lees het hele rapport.

Uw volgende stappen

Schadelijke extensies zijn een groeiend probleem voor organisaties, vanwege het wijdverbreide gebruik ervan, zij het met beperkte monitoringmogelijkheden. Schadelijke browserextensies kunnen gevoelige gegevens verzamelen en kwaadwillenden in staat stellen organisaties te infiltreren, waardoor de hele organisatie in gevaar komt.

Door zorgvuldig te werk te gaan en geavanceerde beveiligingspraktijken toe te passen, kan de organisatie zichzelf beschermen tegen deze populaire aanvalsvector. Om uit te proberen LaagX, het browserbeveiligingsplatform dat verder gaat dan de bestaande stack en de activiteit van kwaadaardige extensies kan identificeren en blokkeren, klik hier.