LayerX har identifierat över 40 skadliga webbläsartillägg som ingår i tre olika nätfiskekampanjer.
Den första upptäckten av denna kampanj gjordes av DomainTools Intelligence (DTI) laget, som identifierade en lista över misstänkta domäner som kommunicerade med webbläsartillägg som utgav sig för att vara legitima varumärken. Men även om forskningen från DTI gav en lista över skadliga domäner, den identifierade inte den fullständiga listan över enskilda skadliga tillägg.
Med utgångspunkt i DTI:s inledande forskning undersökte LayerX de flaggade webbadresserna för att hitta de faktiska metadata för Chrome-tillägget. Genom att analysera de associerade tilläggssidorna har LayerX kunnat identifiera:
- Tilläggs-ID:n
- Tilläggsnamn
- Förlagen bakom dem
- Metadata för tillägg, såsom publiceringsdatum, senaste programuppdatering etc.
Denna utredning avslöjade 40+ skadliga tillägg, varav många fortfarande finns tillgängliga i Google Chrome Store.
Den fullständiga listan över tillägg finns längst ner i det här inlägget.
Viktiga resultat från LayerX-analysen
Vid en närmare analys av tilläggssidorna och beteendena upptäckte LayerX flera viktiga mönster och insikter:
1. AI-genererade tilläggssidor
De skadliga tilläggssidorna uppvisade en mycket likartad struktur, formatering och språk, vilket tyder på sannolikheten att de genererades automatiskt med hjälp av AI-verktyg. Denna taktik gjorde det möjligt för hotaktörer att snabbt skala upp sina insatser över dussintals falska verktyg med minimal manuell ansträngning.
2. Imitation av populära verktyg och varumärken
Tilläggen utformades noggrant för att efterlikna välkända plattformar, inklusive:
- Fortinet / FortiVPN
- DeepSeek AI
- Calendly
- YouTubes hjälpverktyg
- Kryptoverktyg som DeBank
Genom att förlita sig på etablerade namns förtroende kringgick dessa skadliga verktyg effektivt användarmisstankar och undvek granskning under installationen.
3. Sofistikerad varumärkesmaskering
Det är inte bara så att de försökte utge sig för att vara kända legitima tillägg och/eller varumärken, de försökte också göra sig likadana:
- Registrerade domännamn som liknade varandra (t.ex. calendlydaily[.]world och calendly-director[.com], för att imitera Calendly)
- För alla tillägg som ingår i den här kampanjen var utgivarens och e-postadressens domän inte ett privat Gmail-konto, utan en oberoende domän, för att det skulle verka mer trovärdigt.
- Kontakt-e-postadresserna följde standardformatet "support@domännamn", vilket återigen gav mer trovärdighet och fick det att se ut som om det fanns en legitim utgivare bakom dem.
Dessa tillägg ger angripare bestående åtkomst till användarsessioner, vilket möjliggör datastöld, personifiering och potentiell intrång i företagsmiljöer.
Hur organisationer kan reagera
Den nuvarande vågen av skadliga tillägg belyser en viktig blind fläck i många organisationers säkerhetsställning: själva webbläsaren. Så här kan organisationer vidta proaktiva åtgärder för att minska riskerna:
1. Blockera skadliga tillägg efter tilläggs-ID
Organisationer kan manuellt blockera skadliga tillägg via MDM eller webbläsarpolicytillämpning. Denna metod är dock ofta arbetsintensiv och kräver att säkerhetsteam spårar tilläggs-ID:n, övervakar nya hot och reagerar i nära realtid.
2. Upprätthåll hygien för förlängningar
Anta grundläggande hygienregler för webbläsartillägg:
- Blockera tillägg från okända eller overifierade utgivare
- Begränsa installationen av unga tillägg (nyligen publicerat)
- Flagga tillägg med lågt antal granskningar eller ovanliga behörighetsförfrågningar
- Undvik verktyg som är kopplade till misstänkta domäner eller domäner som förfalskar varumärken
3. Blockera tillägg även om de har tagits bort från Chrome Store
Även om vissa komprometterade tillägg redan har tagits bort från Google Chrome Store, tar borttagning från butiken inte bort aktiva installationer från användarnas webbläsare. Därför måste användare och organisationer manuellt gå in och ta bort dem.
Hur LayerX kan hjälpa till
LayerX tillhandahåller en specialbyggd webbläsarsäkerhetsplattform som kontinuerligt övervakar och utvärderar tillägg i realtid. Den erbjuder fullständig identifiering av alla tillägg, automatisk riskklassificering och detaljerade tillämpningsalternativ för att blockera skadliga tillägg.
Bland andra funktioner kan den:
- Blockera automatiskt skadliga eller högrisktillägg
- Upptäck tillägg som utför misstänkta åtgärder, såsom att stjäla cookies, injicera skript etc.
- Tillåt administratörer att ställa in och tillämpa tilläggspolicyer i hela organisationen
- Håll jämna steg med snabba hot via telemetri och hotinformation
För organisationer som är oroliga över hotbilden från sina webbläsartillägg erbjuder LayerX en kostnadsfri granskning av webbläsartillägg. Granskningen inkluderar identifiering av alla webbläsartillägg som är installerade i er miljö, kartläggning av vilka användare som har vilka tillägg installerade och konkreta rekommendationer för att åtgärda exponeringen för skadliga tillägg.
Klicka här att anmäla sig till den kompletterande förlängningsrevisionen.
Lista över skadliga tilläggs-ID:n:
| Tilläggs-ID | Tilläggsnamn | Publisher |
| ccollcihnnpcbjcgcjfmabegkpbehnip | FortiVPN | https://forti-vpn[.]com/ |
| aeibljandkelbcaaemkdnbaacppjdmom | Manus AI | Gratis AI-assistent | https://manusai[.]sbs |
| fcfmhlijjmckglejcgdclfneafoehafm | Webbplatsstatistik | https://sitestats[.]world |
| abbngaojehjekanfdipifimgmppiojpl | Generator för märkesnamn på kläder | https://clothingbrandnamegenerator[.]app |
| dohmiglipinohflhapdagfgbldhmoojl | DeBank – Digitala tillgångar | winchester[.]abram37 |
| acmiibcdcmaghndcahglamnhnlmcmlng | AML-sektorn | Gratis AML-kontroll för kryptovalutor | https://amlsector[.]com |
| mipophmjfhpecleajkijfifmffcjdiac | Kryptovalar Vision | https://cryptowhalesvision[.]world |
| cknmibbkfbephciofemdjndbgebggnkc | Calendly Daily | Gratis programvara för mötesschemaläggning | https://calendly-daily[.]com |
| gmigkpkjegnpmjpmnmgnkhmoinpgdnfc | Calendly Docket | Gratis programvara för mötesschemaläggning | https://calendly-docket[.]com |
| ahgccenjociolkbpgbfibmfclcfnlaei | CreativeHunter – Gratis verktyg för Facebook | https://creativehunter[.]world |
| kjhjnbdjonamibpaalanflmidplhiehe | Tvillingwebb | https://twin-web[.]world |
| pobknfocgoijjmokmhimkfhemcnigdji | EventSphere | https://eventphere[.]com |
| iclckldkfemlnecocpphinnplnmijkol | SQLite webbläsare | https://sqlitebrowser[.]app |
| jmpcodajbcpgkebjipbmjdoboehfiddd | DeepSeek AI-chatt | https://ai-chat-bot[.]pro |
| ihdnbohcfnegemgomjcpckmpnkdgopon | AI Sentence Rewriter | https://ai-sentence-rewriter[.]com |
| oeefjlikahigmlnplgijgeeecbpemhip | Konvertera PDF till JPG | https://pdf-to-jpg[.]app |
| aofddmgnidinflambjlfkpboeamdldbd | HTML-validerare | https://htmlvalidator[.]app |
| acchdggcflgidjdcnhnnkfengdcmldae | CMS-kontroll | https://cmschecker[.]app |
| albakpncdngcejcjdahomfbkakbmafgb | Timlönekalkylator | https://hourlytosalarycalculator[.]app |
| hhlcpmdhlcoghhfgiiopcjbkfmdliknc | CSS-validerare | https://cssvalidator[.]app |
| eheagnmidghfknkcaehacggccfiidhik | E-postkontroll – verifiera e-postadressen med ett klick | https://email-checker[.]pro |
| ckcfkaikieiicfdeomgehmnjglnofhde | Kryptovalvarning – Blockkedjetransaktionsdata | https://crypto-whale[.]top |
| pbpobpjppnecgcinajfpaninmjkdbidm | Webbanalys – Webbplatstrafik och SEO-kontroll | https://web-analytics[.]top |
| gdfjahfbaillhkeigeinoomhjnfajbon | Ad Vision – Gratis annonsspionverktyg för Facebook | https://ad-vision[.]click |
| eoalbaojjblgndkffciljmiddhgjdldh | Madgicx Plus – Superappen för metaannonsörer | https://madgicx-plus[.]com |
| odhmhkkhpibfjijmpgcdjondompgocog | Similar Net – Webbplatstrafik och SEO-kontroll | https://similar-net[.]com |
| ohhhngpnknpdhmdmpmoccgjmmkkleipn | Meta Spy – Gratis annonsspionverktyg för Facebook | https://meta-spy[.]help |
| nejfdccopmpimplhmmdfjobodgeaoihd | Gratis VPN – Raccoon | Obegränsad VPN | https://raccoon-vpn[.]world |
| dhhmopcmpiadcgchhhldcpoeppcofdic | Gratis VPN – Orchid | Obegränsad VPN | https://orchid-vpn[.]com |
| ffmfnniephcagojkpjddjiogjeoijjgl | VPN Gratis – Soul VPN Obegränsad VPN Proxy | https://soul-vpn[.]com |
| nabbdpjneieneepdfnmkdhooellilgho | Webbplatsövervakning | https://websitemonitoring[.]pro |
| mldeggofnfaiinachdeidpecmflffoam | AI-författare | https://aiwriter[.]expert |
| pndmbpnfolikhfnfnkmjkkpcgkmaibec | AI-annonsgenerator | https://aiadgenerator[.]app |
| elipckbifniceedgalakgnmgeimfdcdi | Rubrikgenerator | https://headlinegenerator[.]app |
| kkgmdjjpobmenpkhcclceelekpbnnana | Webbbevakning | https://webwatch[.]world |
| dcnjgfafcnopabhpgoekkgckgkkddpjg | Youtube Vision | https://youtube-vision[.]world |
| mllkmmdaapekjehapekhjjiednchgmag | Webbmätningar – Webbplatstrafik och SEO-kontroll | https://web-metrics[.]link |
| bhahpmoebdipfoaadcclkcnieeokebnf | Bitcoin-priset i realtid | https://bitcoin-price[.]live |
| oliiideaalkijolilhhaibhbjfhbdcnm | Länkförkortare | https://u99[.]pro |
