Home Blog Stille overname: hoe aangeschafte Chrome-extensies tools voor het manipuleren van webpagina's op afstand werden.

Stille overname: hoe aangeschafte Chrome-extensies tools voor het manipuleren van webpagina's op afstand werden.

 

Samenvatting

Ons onderzoek bracht een gecoördineerde campagne aan het licht waarbij meerdere Chrome-extensies – aanvankelijk onschadelijk en met een eigen functie – werden omgevormd tot op afstand bestuurbare tools voor het injecteren van content. Hoewel de extensies onschadelijk leken en geen speciale machtigingen vereisten, was elke extensie aangepast om periodiek een configuratiebestand te downloaden van een domein dat door de aanvaller werd beheerd. Deze dynamische regels stelden de extensies in staat om webpagina-inhoud te overschrijven, externe HTML te injecteren en door de gebruiker bezochte websites te manipuleren zonder dat een update van de Chrome Web Store nodig was.

Uit infrastructuuranalyse bleek dat de schadelijke functionaliteit van de extensies was geïntroduceerd. direct na de eigendomsoverdracht in de Chrome Web Storeeen patroon dat in meerdere gevallen werd waargenomen. Parallel daaraan werden de command-and-control (C2)-domeinen die werden gebruikt om instructies op afstand te verzenden, geregistreerd. kort voordat de gecompromitteerde updates werden gepubliceerdDit suggereert een vooropgezet plan voor de infrastructuur van de aanvaller. De samenloop van identieke injectielogica, gedeelde architectuurpatronen, gesynchroniseerde domeinregistraties en codeaanpassingen na de overname wijst erop dat deze extensies gecompromitteerd en in gebruik genomen zijn als onderdeel van een aanval. gecoördineerde, door infrastructuur ondersteunde campagne in plaats van geïsoleerde incidenten.

Technische Analyse

Hoewel elke extensie een andere, ogenschijnlijk onschuldige functie vertoonde, implementeerde de interne code hetzelfde risicovolle gedrag. In alle geanalyseerde extensies was een terugkerend, verborgen mechanisme aanwezig dat de dynamische manipulatie van webpagina's op afstand mogelijk maakte. In het volgende zullen we ons richten op het kwaadaardige gedrag dat in alle aangetroffen extensies voorkomt:

  1. Configuratie op afstand ophalen

Elke extensie maakte elke 5 minuten contact met een externe server om een ​​nieuw configuratiebestand (config.php of theme.php) te downloaden.

Dit bestand bevatte instructies voor:

  • Welke websites moet je targeten?
  • Welke DOM-elementen moeten worden aangepast?
  • Welke externe payload moet worden geïnjecteerd?

Figuur 1. Een reguliere expressie die overeenkomt met 'location.href'.

Omdat deze configuraties afkomstig zijn van domeinen die door aanvallers worden beheerd, kan het gedrag van de extensie direct worden gewijzigd, zonder dat er een update via de Chrome Web Store nodig is.

Dit ontwerp creëert effectief een commando- en controlekanaal binnen de browser.

  1. Dynamische DOM-injectie

De gedownloade configuratie definieerde regels zoals:

  • patroon – reguliere expressie om specifieke websites te vinden
  • keuzeschakelaar – elementen in de DOM die overschreven moeten worden
  • url – extern eindpunt dat geïnjecteerde HTML/tekst levert
  • attr – de DOM-eigenschap die vervangen moet worden (bijv. innerHTML, src, href)

Afbeelding 2. Vervanging van DOM-objecten

De extensies gebruikten deze regels om door de aanvaller beheerde inhoud op te halen en direct in webpagina's te injecteren:

Dit maakt het voor externe servers mogelijk om:

  • Vervang inlogformulieren
  • Voeg phishing-overlays in
  • Financiële of winkelpagina's wijzigen
  • Injecteer advertenties of trackingbakens
  • Sociale media-inhoud aanpassen

Alles zonder waarschuwingen, machtigingen of zichtbaarheid voor de gebruiker.

  1. Aanhoudende manipulatie via MutationObservers

Om ervoor te zorgen dat wijzigingen niet door de website ongedaan kunnen worden gemaakt, gebruikt de extensie MutationObserver. 

Hierdoor wordt de geïnjecteerde inhoud continu opnieuw toegepast telkens wanneer de pagina wordt bijgewerkt, wat zorgt voor aanhoudende en onopvallende manipulatie.

De extensies delen een gemeenschappelijke architectuur die is ontworpen om externe servers in staat te stellen De webpagina die de gebruiker bezoekt, wordt herschreven., stilzwijgend en herhaaldelijk. Dit vormt een zeer flexibel en gevaarlijk raamwerk voor browsermanipulatie, vermomd als onschadelijke hulpprogramma's.

Infrastructuuranalyse

Ons onderzoek bracht een gecoördineerd ecosysteem aan het licht van overdrachten van extensie-eigendom, snel geconfigureerde command-and-control (C2)-domeinen en gesynchroniseerde kwaadaardige updates. Dit zijn sterke aanwijzingen dat deze extensies gecompromitteerd en in gebruik genomen zijn als onderdeel van een gestructureerde campagne, in plaats van geïsoleerde incidenten.

  1. Overdracht van eigendom van uitbreidingen en bewapening na acquisitie

Historische metadata uit de Chrome Web Store laten een consistent patroon zien: de extensies gedroegen zich probleemloos tot kort nadat het eigenaarschap veranderde. In meerdere voorbeelden hebben we het volgende waargenomen:

  • Een wijziging in de vermelde eigenaar of ontwikkelaar van de extensie kort voor de schadelijke update.
  • Er is geen bewijs gevonden voor logica voor configuratie op afstand in eerdere versies.
  • Een plotselinge invoeging van:
    • Periodiek ophalen van configuratiebestanden op afstand
    • Regels voor het herschrijven van de DOM
    • Beacon roept install.php aan.
    • Ondersteunende code die het mogelijk maakt om persistente inhoud te manipuleren

Gebruikersrecensies bevestigen dit tijdschema en melden onverwacht gedrag direct na deze updates.

Dit sluit aan bij een bekende strategie in campagnes tegen misbruik van extensies: Kwaadwillende actoren kopen veelgebruikte extensies en bouwen deze vervolgens uit met een modulair, kwaadaardig framework.

  1.  Tijdelijke koppeling tussen C2-domeinregistratie en kwaadaardige updates

Analyse van WHOIS-gegevens over de infrastructuur die door de extensies wordt gebruikt, onthult een opvallende temporele correlatie.

Belangrijkste observaties:

  • Domeinen werden geregistreerd dagen tot weken voordat de kwaadaardige extensieversies werden gepubliceerd.
  • De kwaadwillige updates begonnen deze domeinen vrijwel direct na de lancering online te bevragen.
  • De domeinen delen vergelijkbare naamgevingsconventies en infrastructuurkenmerken, wat wijst op een gecentraliseerde voorziening.

Dit patroon komt overeen met het idee dat tegenstanders hun operationele infrastructuur voorbereiden vlak voordat ze gecompromitteerde extensies activeren.

  1. Schone versus kwaadaardige versies

Codevergelijkingen tussen eerdere en latere versies laten een duidelijk omslagpunt zien:

Versies van vóór het compromis (goedaardige versies)

  • Bevatte alleen de geadverteerde functionaliteit (bijv. beeldbewerking, videodetectie, DOI-extractie).
  • Geen externe configuratiebronnen.
  • Geen dynamische contentinjectie.
  • Geen permanente monitoringmechanismen (bijv. MutationObservers).
  • Geen debugger- of fingerprinting-API's.

Versies na de inbreuk (kwaadaardige versies)

  • Er is een lus toegevoegd voor het ophalen van configuratiegegevens op afstand (doorgaans elke 5 minuten).
  • Introduceerde instructiegestuurde DOM-manipulatie met behulp van regels die overeenkomen met reguliere expressies.
  • Een herbruikbare injectie-engine ingebouwd die in staat is om willekeurige pagina-inhoud te overschrijven.
  • Geïntegreerde installatiebakens voor telemetrie naar door aanvallers gecontroleerde domeinen.

Figuur 3. kbaofbaehfbehifbkhplkifihabcicoi voor en na

Het verschil ondersteunt sterk de hypothese van doelbewuste wapenisering na verwerving.

  1. Indicatoren van een gedeelde toolkit of een uniforme dreigingsactor

Een vergelijking tussen verschillende uitbreidingen bracht een hoge mate van structurele gelijkenis aan het licht:

  • Identieke pollingintervallen (300 seconden).
  • Vrijwel identieke logica voor het parseren van configuratieregels op afstand.
  • Consistente naamgeving van velden zoals pathMatch, selector, applyMethod, resourceLink.
  • Terugkerende externe eindpunten (config.php, theme.php, install.php).
  • Vergelijkbare foutonderdrukkingspatronen en stilzwijgend mislukte fetch()-aanroepen.
  • Het herkennen van patronen in de manier waarop geïnjecteerde inhoud DOM-attributen vervangt.
Extensie-ID Eigendomsoverdracht Domeinregistratie Kwaadaardige versie verspreid
kbaofbaehfbehifbkhplkifihabcicoi 2025-07-19 2025-07-27 2025-07-30
ijhbioflmfpgfmgapjnojopobfncdeif 2025-07-23 2025-08-20 2025-08-27
nimnhhcainjoacphlmhbkodofenjgobh 2025-07-19 2025-08-20 2025-08-22
jleonlfcaijhkgejhhjfjinedgficgaj 2025-04-14 2025-08-22 2025-08-26
pgfjnclkpdmocililijgalomiaokgjejdm 2025-07-19 2025-08-13 2025-08-16
eekibodjacokkihmicbjgdpdfhkjemlf 2025-09-21 2025-09-23 2025-09-25
ggjlkinaanncojaippgbndimlhcdlohf 2024-09-25 2024-09-30 2024-10-11
ncbknoohfjmcfneopnfkapmkblaenokb 2024-12-13 2025-02-03 2025-02-07

De convergentie tussen meerdere onafhankelijk van elkaar uitgebrachte extensies suggereert dat er één ontwikkelaar is van het kwaadaardige framework, of een criminele dienst die een kant-en-klare toolkit aanbiedt om extensies te misbruiken voor criminele doeleinden.

De infrastructuur, de tijdlijnen en de onderlinge verbanden in de code wijzen gezamenlijk op een gecoördineerde operatie in plaats van opportunistisch of losstaand misbruik.

Campagne december 2025

LayerX Security houdt continu gevallen in de gaten waarin voorheen onschadelijke browserextensies zich ontwikkelen tot kwaadaardige extensies. In december ontdekten we diverse extra extensies van dezelfde auteurs die kwaadaardig gedrag vertoonden. Dit onthulde een nieuwe campagne die erop gericht is om onschadelijke extensies om te zetten in agressieve adware.

De extensies lijken aanvankelijk onschadelijk en implementeren een eenvoudige functionaliteit. Naast deze aangegeven functionaliteit haalt de code echter ook een configuratiebestand op van een externe server. Deze configuratie bevat een lijst met domeinen waarop de extensie misleidende meldingen injecteert, waarbij elk domein een URL bevat die de infectieketen verder brengt.

Afbeelding 4. Opgehaald configuratiebestand.

Wanneer een gebruiker een van deze domeinen bezoekt, wordt er direct een melding over een kwaadaardige gebruiker weergegeven, die een "menselijke verificatie"-stap vereist.

Afbeelding 5. Valse melding.

De verificatieknop leidt het slachtoffer door naar opeenvolgende 'geen robot'-pagina's die alleen statische afbeeldingen tonen, terwijl op de achtergrond een script een service worker registreert, het apparaat, de browser en het besturingssysteem van de gebruiker vastlegt en deze informatie naar pushtorm.net verzendt. De gebruiker wordt vervolgens gevraagd om toestemming te geven voor meldingen.

Afbeelding 6. Verzoek om toestemming.

Zodra de extensie is verleend, worden er herhaaldelijk opdringerige advertenties weergegeven via hetzelfde omleidings- en notificatiemechanisme, waardoor de gebruiker in feite wordt blootgesteld aan aanhoudend en agressief adwaregedrag.

Conclusie

Onze analyse laat zien dat deze extensies geen geïsoleerde gevallen van kwaadwillig gedrag waren, maar onderdelen van een gecoördineerd en evoluerend distributiekader. Hoewel elke extensie een andere goedaardige functie vertoonde, deelden ze een gemeenschappelijke, op afstand bestuurbare injectie-engine, identieke configuratielogica en een consistente pollingcyclus van 5 minuten.

Uit infrastructuuranalyse blijkt verder dat de meeste uitbreidingen pas bewapend na eigendomsoverdrachten de door de aanvaller gecontroleerde commando- en controledomeinen waren geregistreerd kort voor de schadelijke updatesDeze nauwe koppeling duidt sterk op een doelbewuste, georganiseerde campagne die legitieme extensies verwerft en deze achteraf voorziet van een modulaire toolkit voor contentinjectie.

Gezamenlijk tonen deze bevindingen een duidelijk patroon aan: een schaalbaar, centraal beheerd systeem dat is ontworpen om webpagina's te manipuleren, willekeurige payloads te verspreiden en zich snel te ontwikkelen zonder dat er nieuwe updates voor de Web Store nodig zijn. Dit legt een belangrijke blinde vlek bloot in de huidige modellen voor de beoordeling van extensies en onderstreept de noodzaak van een betere detectie van gedrag met betrekking tot configuratie op afstand en misbruik van extensies na de overname.

IOCs

Extensie-ID's - Momenteel actieve extensies

ID Naam Installeert
kbaofbaehfbehifbkhplkifihabcicoi PhotoExpress-redacteur 5,000
ijhbioflmfpgfmgapjnojopobfncdeif Canva-extensie voor Chrome | Ontwerp-, kunst- en AI-editor 1,000
nimnhhcainjoacphlmhbkodofenjgobh Internet Archive Saver 2,000
jleonlfcaijhkgejhhjfjinedgficgaj CapCut Video Editor & Downloader 6,000
pgfjnclkpdmocililijgalomiaokgjejdm SnapConnect voor Chrome 2,000
jnkmepoonohhfijlbajdphhinhkoefjn HP Print Service-plug-in

 

 1,000
gmmhcbmmnclgmmjimiiefhiagmpamdlb Bewerk alles - Geef elke pagina een boost 780
ooobfpifjkgeopllkalfgkbiefhooggl Blooket Hacker Pro

 

 2,000
cehifnkfcddaeppdajpfldbpommggaca Kahoot-hacker

 

 1,000
eggegjdejilddmnlglakcaigefefcdaf Interactieve Fics

 

 350

Extensie-ID's - Verwijderd uit extensies in de Store

ID Naam Installeert
eekibodjacokkihmicbjgdpdfhkjemlf Interactieve Fics 3,000
ggjlkinaanncojaippgbndimlhcdlohf PaperPanda — Krijg toegang tot miljoenen onderzoeksartikelen 100,000
ncbknoohfjmcfneopnfkapmkblaenokb Vytal - Vervals tijdzone, geolocatie, landinstelling en beveiliging 40,000

Domeinen en ondersteunings-e-mailadressen

TTP's

Tactiek Techniek
Ontwikkeling van hulpbronnen LX2.001(T1588) - Verkrijg vaardigheden
Toegang tot inloggegevens LX8.008 - Netwerkmanipulatie
De reis van mijn leven LX9.003 (T1082) - Systeeminformatie ontdekken
Command and Control LX11.004 - Netwerkverbinding tot stand brengen
Impact LX13.004.1 (T1565) - Gegevensmanipulatie: Inhoudsmanipulatie

Sanering en beperking

Voor gebruikers

  • Verwijder extensies die configuratiebestanden van externe servers laden - alles wat config.php of theme.php ophaalt van onbekende servers vormt een risico.

  • Vermijd extensies die webinhoud wijzigen zonder duidelijke rechtvaardiging - DOM-herschrijving + externe inhoud = hoog risico.

  • Geef de voorkeur aan gerenommeerde, bekende ontwikkelaars - vermijd "nieuwe", "onbekende" of slecht beoordeelde extensies.

  • Controleer de activiteit van extensies met behulp van de ingebouwde extensietools van Chrome en zoek naar onverwachte netwerkverbindingen.

Voor beveiligingsteams

  • Detecteer veelvoorkomende artefacten - Markeer extensies die:

    • Haal configuraties voor injectie op afstand op.
    • Gebruik cache-bypass-query's met tijdstempels.
    • Definieer injectieregels met selectors en patronen.
    • Gebruik MutationObservers op een agressieve manier.
    • Gebruik de Chrome Debugger API's onnodig.

  • Voer gedragstesten uit in een testomgeving (sandbox) - Monitor:

    • DOM-wijzigingen
    • Uitgaande netwerkgesprekken
    • Gewijzigde elementen
      Tijdstip van het ophalen van configuratiegegevens op afstand

  • Blokkeer bekende kwaadaardige domeinen - Monitor op domeinen die gerelateerd zijn aan deze extensiefamilies.