Securitybedrijf waarschuwt voor vier Google Chrome-extensies

[Captain Kirk]

Een securitybedrijf heeft voor vier Google Chrome-extensies met zo'n 500.000 downloads gewaarschuwd, waarvan er twee nog altijd in de Chrome Web Store te vinden zijn. Het gaat om de extensies Change HTTP Request Header, Nyoogle, Lite Bookmarks en Stickies - Chrome's Post-it Notes.

Securitybedrijf ICEBRG kwam de extensies op het spoor toen het een piek in het netwerkverkeer bij een klant waarnam. De Chrome-extensie Change HTTP Request Header bleek de oorzaak te zijn. De extensie downloadde kwaadaardige JavaScript-code die ervoor zorgde dat de computer advertentie-gerelateerde domeinen bezocht, wat mogelijk op clickfraude duidt.

Hierbij lijkt het alsof een echte internetgebruiker op een advertentie of link heeft geklikt, terwijl de click eigenlijk van de malafide Chrome-extensie afkomstig is. De extensie was ruim 14.000 keer geïnstalleerd voordat Google die uit de Chrome Web Store verwijderde. Gebaseerd op de werkwijze en command & control-servers die Change HTTP Request Header gebruikte werden ook drie andere Chrome-extensies ontdekt.

Het gaat om Nyoogle - Custom Logo for Google, Lite Bookmarks en Stickies - Chrome's Post-it Notes. Lite Bookmarks is inmiddels ook door Google verwijderd, maar Nyoogle en Stickies zijn nog steeds in de Web Store te vinden en hebben respectievelijk 415.000 en 21.000 installaties.

 

 

bron: security.nl