Proofpoint-onderzoeker Kafeine heeft naar aanleiding van berichten over overgenomen Chrome-extensies eigen onderzoek uitgevoerd. In de loop daarvan vond hij meer getroffen extensies, die via phishingcampagnes worden gekaapt.
Hij meldt dat de extensies Chrometana 1.1.3, Infinity New Tab 3.12.3, Web Paint 1.2.1 en Social Fixer 20.1.1 zijn aangepast door kwaadwillenden. De onderzoeker heeft het vermoeden dat TouchVPN en Betternet VPN ook zijn getroffen, maar noemt geen versienummers. Van alle genoemde extensies met versienummer is inmiddels een nieuwe versie verschenen. Eerder werd al duidelijk dat de extensies Web Developer en CopyFish waren getroffen en kortstondig kwaadaardige code bevatten. Het gaat om populaire extensies, zo hebben de vpn's meer dan 1 miljoen gebruikers. Voor de overige extensies geldt, met uitzondering van Web Paint, dat ze meer dan 100.000 gebruikers hebben.
Het bleek dat de ontwikkelaars achter de software phishingmails hadden ontvangen, waarin werd gevraagd om in te loggen met hun Google-account. Op die manier konden de aanvallers toegang krijgen tot de ontwikkelaarsaccounts achter de extensies en die zo van kwaadaardige code voorzien. Volgens Kafeine zijn de mensen achter de phishingcampagne al actief sinds de helft van 2016.
Hij schrijft dat de aangepaste code in de extensies ervoor zorgde dat advertenties werden onderschept en verwisseld met vaak kwaadaardige exemplaren, voornamelijk op pornosites. Daarnaast werd internetverkeer omgeleid naar zogenaamde affiliate-programma's waarmee de aanvallers geld konden verdienen. Een andere functie was het verkrijgen van Cloudflare-inloggegevens.
Toegevoegde code in Web Developer-extensie