Det er nå blitt oppdaget flere hundre utvidelser til Googles Chrome-nettleser som har hentet ut data om brukerne og lastet den opp til servere uten brukernes viten. Det melder det Cisco-eide sikkerhetsselskapet Duo Security.
Selskapet oppdaget over 500 Chrome-tillegg som har gitt seg ut for å være legitime, men som i hemmelighet har infisert nettleseren og eksfiltrert data i det som har vært en større «malvertising»-kampanje – altså ondsinnet bruk av annonseprogramvare.
1,7 millioner nedlastinger
Tilleggene det dreier seg er lastet ned rundt 1,7 millioner ganger , og etter at Google fikk overlevert rapporten fra Duo Security skal samtlige av tilleggene ha blitt fjernet fra Chrome-butikken.
Ifølge sikkerhetsselskapet ble de aktuelle utvidelsene spesifikt designet for å skjule den underliggende annonsefunksjonaliteten fra brukerne. De fungerte ved å koble nettleserklientene til C&C-servere (command and control), hente ut private surfedata og for å unngå antisvindelmekanismene i Chrome-butikken.
Fra C&C-serverne mottar tilleggene nye instruksjoner, lokasjoner for opplasting av data, «feed»-lister for annonser og domenet for fremtidige omdirigeringer. Instruksene innebærer blant annet å laste opp forespurte data, men ikke minst å sende brukerne gjennom en strøm av omdirigeringer.
Chrome-tillegg svindler kunder: Nå innfører Google full stans i nye tillegg
Skadevare og phishing
Som sikkerhetsselskapet peker på lander mange av omdirigeringene på legitime annonser. Det som gjør aktiviteten ondsinnet er det store volumet av annonseinnhold som vises, at brukeren ikke ser mange av annonsene selv, og det faktum at ondsinnede tredjeparter aktivt bruker omdirigeringene til å sende brukerne til skadevare og phishing-nettsider.
Ifølge Duo Security bruker ondsinnede aktører i økende grad legitim internett-aktivitet til å skjule C&C-basert virksomhet, og en populær måte å gjøre dette på er nettopp gjennom «malvertising».
Sikkerhetsselskapet anbefaler å jevnlig sjekke hvilke nettlesertillegg man har installert, fjerne de som ikke er i bruk, og rapportere de som man ikke kjenner igjen.
Flere detaljer om funnene kan du finne hos Duo Security.