Onderzoeker vindt meer door kwaadwillenden overgenomen Chrome-extensies

Proofpoint-onderzoeker Kafeine heeft naar aanleiding van berichten over overgenomen Chrome-extensies eigen onderzoek uitgevoerd. In de loop daarvan vond hij meer getroffen extensies, die via phishingcampagnes worden gekaapt.

Hij meldt dat de extensies Chrometana 1.1.3, Infinity New Tab 3.12.3, Web Paint 1.2.1 en Social Fixer 20.1.1 zijn aangepast door kwaadwillenden. De onderzoeker heeft het vermoeden dat TouchVPN en Betternet VPN ook zijn getroffen, maar noemt geen versienummers. Van alle genoemde extensies met versienummer is inmiddels een nieuwe versie verschenen. Eerder werd al duidelijk dat de extensies Web Developer en CopyFish waren getroffen en kortstondig kwaadaardige code bevatten. Het gaat om populaire extensies, zo hebben de vpn's meer dan 1 miljoen gebruikers. Voor de overige extensies geldt, met uitzondering van Web Paint, dat ze meer dan 100.000 gebruikers hebben.

Het bleek dat de ontwikkelaars achter de software phishingmails hadden ontvangen, waarin werd gevraagd om in te loggen met hun Google-account. Op die manier konden de aanvallers toegang krijgen tot de ontwikkelaarsaccounts achter de extensies en die zo van kwaadaardige code voorzien. Volgens Kafeine zijn de mensen achter de phishingcampagne al actief sinds de helft van 2016.

Hij schrijft dat de aangepaste code in de extensies ervoor zorgde dat advertenties werden onderschept en verwisseld met vaak kwaadaardige exemplaren, voornamelijk op pornosites. Daarnaast werd internetverkeer omgeleid naar zogenaamde affiliate-programma's waarmee de aanvallers geld konden verdienen. Een andere functie was het verkrijgen van Cloudflare-inloggegevens.

Toegevoegde code in Web Developer-extensie

IT-banen

Reacties (55)

nelisc 16 augustus 2017 13:45

Is het niet handig (lees: nodig / anders nalatig?) om 2-factor authentication te verplichten voor ontwikkelaars? De kans op schade door mensen met 'toegang' tot 100.000-en browsers lijkt me nu wel erg groot.

Cerberus_tm

@nelisc • 16 augustus 2017 15:32

Lijkt me een goed idee. Daarnaast moet Google handmatig alle extensies en updates (in principe) controleren, net als Mozilla doet met Firefox. Dat geeft geen 100% zekerheid, maar het helpt wel.

WybrenPC 16 augustus 2017 14:46

wat zou je moeten doen als je een van de getroffen extensies geinstalleerd hebt staan? het is voor mij niet helemaal duidelijk of het allemaal al is opgelost.

Jerie

16 augustus 2017 16:20

Yep, dit was recent o.a. bij Transmission ook gebeurd. Dit soort aanvallen gaan we meer zien. De crypto erachter werkt goed, maar de zwakke schakel is en blijft de mens. Ook had een OS als bijv Qubes dit probleem jammergenoeg niet kunnen voorkomen.

MrMarcie 16 augustus 2017 13:15

Wil al een tijd van Chrome af, maar FF (dev) bewaart ongeveer 50% van de (geimporteerde bookmarks) favicons niet. En dat maakt het voor mij onwerkbaar.

Remenic @MrMarcie • 16 augustus 2017 13:50

Ik kwam er laatst achter dat Firefox in 'private browsing modus' alle extensies mee laat kijken. Dat is een ontwerpkeuze waar ik nog grotere vraagtekens bij zet dan opgekochte chrome extensies die vervolgens op malafide wijze worden aangepast.

kozue @Remenic • 16 augustus 2017 18:11

Waarom is dat raar? Ik zou het juist bizar vinden als ze in private modus m'n privacy gingen verpesten door extensies als ublock en privacy badger niet te laden...

Remenic @kozue • 16 augustus 2017 18:17

Het is de default policy van alle extensies toestaan waar ik mij aan stoor. Chrome staat extensies in incognito modus toe, mits je dat zelf hebt aangegeven. Privacy heeft dus prioriteit. Een browser waarbij dat niet zo is, daarmee zal ik nooit bankzaken verrichten. Niet dat Chrome heilig is, maar op dat punt wel logischer.

Nu ken ik privacy badger niet, maar ads block ik op dns niveau, dus werkt onafhankelijk van de gebruikte browser.

kozue @Remenic • 17 augustus 2017 11:47

En waarom zou je extensies installeren die je niet vertrouwt? Als je een extensie hebt die je niet in private browsing wilt gebruiken kun je m toch maar beter helemaal verwijderen? Ik heb geen enkele extensie geïnstalleerd staan waarmee ik m'n bankzaken niet meer durf te doen.

En een DNS blacklist is ook niet heilig. Ik heb ook een DNS blacklist, maar die loopt toch altijd achter, want er komen dagelijks trackers bij. Het is een mooi begin, maar geen totaaloplossing. Bovendien zijn er sites, zoals google.com, die ik het liefst helemaal blokkeer, op een paar sites na waar het wel nodig is (zoals captcha's die van daar geladen worden). Whitelisting werkt niet met DNS blocks.

Bovendien doet het er niet toe wat jij gebruikt, maar gaat het bij browsers om wat goed is voor de meerderheid. Hoeveel thuisgebruikers hebben de knowhow om DNS blokkades in te stellen? Die vertrouwen volledig op hun adblockers voor het stoppen van tracking. Zelf zou ik geen browser willen gebruiken die mijn zelf geïnstalleerde beschermingsmaatregelen disabled wanneer het hun zo uit komt.

QUICKSORT @MrMarcie • 16 augustus 2017 13:31

Het is ook niet altijd zo evenzeer gemakkelijk om een zulke stap te nemen, vooral omdat een browser iets is dat je heel erg vaak gebruikt, en als je dan ook nog eens een google account actief gebruikt in combinatie met chrome, kan het nog moeilijker worden.
En het feit blijft dat de meest populaire oplossingen constant doelwitten zullen zijn voor kwaadwillenden.

YangWenli @QUICKSORT • 16 augustus 2017 16:47

Yep niemand maakt malware voor Goanna.

Ik raad iedereen aan om extensions/add ons direct van GitHub te installeren indien mogelijk.

nst6ldr @MrMarcie • 16 augustus 2017 13:41

Best vervelend dat er maar twee browsers bestaan natuurlijk.

MrMarcie @nst6ldr • 16 augustus 2017 14:00

Geef dan even de suggestie welke wel. Ik heb er een stuk of 8 en voor mij (n werk) is FF Dev de prettigste oplossing. Zeg maar met de minste issues wat betreft mijn eisen. Maar die favicons zijn helaas de bottleneck. Firefox (dev) bewaart groot deel favicons niet

[Reactie gewijzigd door MrMarcie op 23 juli 2024 16:07]

dwarfangel @MrMarcie • 16 augustus 2017 13:20

Je weet dat de favicons vanzelf worden geladen zodra je die (geïmporteerde) website bezoekt he?
Gewoon kwestie van aanklikken.. ben je misschien even half uurtje zoet mee om al je favorieten af te klikken. Maar als je al zooooooooooo lang van Chrome af wil, lijkt me dat je er iets voor over moet hebben...

MrMarcie @dwarfangel • 16 augustus 2017 13:56

Zie mijn reactie hierboven.

Firefox (dev) bewaart groot deel favicons niet

[Reactie gewijzigd door MrMarcie op 23 juli 2024 16:07]

dwarfangel @MrMarcie • 16 augustus 2017 14:20

Ik had het gezien inderdaad - helaas is dit niet de juiste plek om je "probleem" te spammen. Vandaar dat de rest je een -1 geeft.
Zojuist heb ik in GoT een link geplaatst. Hopelijk heb je er iets aan.

MrMarcie @dwarfangel • 16 augustus 2017 16:54

Dank je en die -1's. Ach as ze niet beter weten. Werd een beetje flauw van, zoals wel vaker, die ongenuanceerde reacties met aannames altijd. Lopen helaas hoop kereltjes rond die denken de wijsheid in pacht te hebben, laat ze maar.

nXXt @dwarfangel • 16 augustus 2017 13:38

Je kunt toch met een enkele klik al je bookmarks in tabs openen?

Tenminste, dat meen ik mij toch vrij sterk te herinneren van mijn Firefox-gebruik.

dwarfangel @nXXt • 16 augustus 2017 13:52

Ik gebruik zelden FF, dus dat wist ik niet. Bovendien weet ik niet hoeveel Bookmarks jij hebt, maar als ik in 1 handeling honderden tabs open dan weet ik niet of mn laptop dat zo leuk vind, op mn PC zou nog wel kunnen.

FreshMaker @nXXt • 16 augustus 2017 13:42

Ja, en daarna een keer 'close all' drukken, en klaar

jochem4207 @MrMarcie • 16 augustus 2017 13:18

Edge is ook intressant aan het worden

Nas T @jochem4207 • 16 augustus 2017 13:25

Tsja, ik weet het niet....ik wil juist van Microsoft af, gezien hun privacyhonger...

MAX3400 @Nas T • 16 augustus 2017 13:45

Welke privacyhonger?

Recentelijk onder andere nieuws: Microsoft: 71 procent van Windows 10-gebruikers stuurt volledige tele... maar daar had je niet heel veel aan toe te voegen qua privacy? Wat me dan wel opvalt, maar dat zal voor meer mensen gelden; je reageert wel veel op artikelen omtrent Google (produkten met Android, Google zelf of anderzins) maar daar rep je dan niet heel veel over als het gaat om privacy.

Zonder direct jouw mening/opvatting/kennis te weten of te willen bekritiseren; een one-liner als dat bedrijf X privacy-honger heeft, is wat losjes geplaatst. Zeker als je weet dat Microsoft juist als beste "uit de vergelijkende tests" komt als het gaat over persoonlijke data en EU-wetgeving.

Nas T @MAX3400 • 16 augustus 2017 17:09

...maar daar had je niet heel veel aan toe te voegen qua privacy? Wat me dan wel opvalt, maar dat zal voor meer mensen gelden; je reageert wel veel op artikelen omtrent Google (produkten met Android, Google zelf of anderzins) maar daar rep je dan niet heel veel over als het gaat om privacy.

Het lijkt er sterk op dat je hier op de persoon reageert en niet inhoudelijk. Ik vind dat jammer.
Misschien was ik op het moment dat dat artikel verscheen, wel op vakantie?

Ik ga me niet verantwoorden op dat ik op bepaalde artikelen wel of niet reageer, dat heeft inhoudelijk niks met mijn standpunt te maken.

...een one-liner als dat bedrijf X privacy-honger heeft, is wat losjes geplaatst.

Maar je link geeft wel aan dat 71 procent van de gebruikers van Windows volledige telemetrische gegevens doorstuurt. Dat is toch inbreuk van privacy?

Zeker als je weet dat Microsoft juist als beste "uit de vergelijkende tests" komt als het gaat over persoonlijke data en EU-wetgeving.

Heb je hier een bron/bronnen van? Volgens mij houdt Microsoft zich redelijk netjes aan de EU-regels en is het nog niet zo vergaand in vergelijking met wat Google en Facebook van je willen weten, maar dat maakt het niet beter. Het is misschien minder erg, maar nog steeds erg.

StefanJanssen @Nas T • 16 augustus 2017 18:13

Alle telemetry is anoniem Dingen die het duur stuurt zijn errors van windows, welke hardware combinatie je hebt en dat soort dingen. Niemand binnen Microsoft kan terughalen bij wie welke error hoort tenzij ze de IP bij het binnenkomen bekijken aangezien ook dit niet word opgeslagen.
Ja je stuurt veel data maar het is geen inbreuk op je privacy. Daarnaast wordt dit gebruikt om je systeem veiliger te maken.

Waarom denk je dat Windows defender sinds win 10 zo veel beter is geworden?

raro007 @MAX3400 • 16 augustus 2017 15:01

ja leuk die statistieken van mensen die next, ok, accepteren zo maar drukken om iets te installeren.

Mr. Freeze @Nas T • 16 augustus 2017 15:38

En Google heeft die honger niet?

Nas T @Mr. Freeze • 16 augustus 2017 17:11

Ook, die is niet minder "slecht". Ik zal op termijn ook proberen van gmail af te stappen en Android zo min mogelijk tot niet te gebruiken. Android ontwijk ik door Sailfish, van Jolla. Gmail wordt iets lastiger, maar daar zal ik ook een alternatief voor gaan zoeken.

AmigaWolf @Nas T • 16 augustus 2017 20:00

Het verschil met Windows 10 is je kan alle privacy gerichte zaken uitschakelen, zo dat Microsoft niks meer van je krijg, iets wat niet gaat met Facebook of Twitter of Google.

De keuze is aan jou.

https://www.youtube.com/w...7GjEkKzRGGV3qWGGbpaqEgn29

Yzord @Nas T • 16 augustus 2017 20:54

https://www.safe-mail.eu gebruik ik. NL bedrijf en tot nu toe zeer tevreden. Bieden ook encrypted mail, eigen domein gebruik en xmpp aan. Beetje ondergeschoven kindje, want ze doen weinig aan marketing.

jochem4207 @Nas T • 16 augustus 2017 13:26

Als je echt naar een linux optie wilt gaan dan snap ik het, aangezien je nog op chrome zit (ik ook) maakt het weinig verschil.

rkeet @MrMarcie • 16 augustus 2017 17:00

Probeer Vivaldi?

ToolBee @MrMarcie • 16 augustus 2017 18:12

Zodra je in FF een bookmark laadt heeft-ie de favicon weer. Als dat alles is wat je tegen houdt...

dusty-2011 @MrMarcie • 16 augustus 2017 21:15

Tjah, is het geen optie voor jou om de tekst van de bookmarks te lezen? Ik vind de favicons ook hardstikke handig hoor, maar ik heb vele bookmarks die ik nog niet bezocht heb, en die hebben geen favicon. Maar dan lees ik gewoon de naam van de bookmark.

Stel je bookmark van Nu.nl heeft geen favicon. Dan staat er nog steeds een naam, bijvoorbeeld: NU - het laatste nieuws lees je het eerst op NU.nl

Als je die naam leest is het toch duidelijk waar de bookmark heen leidt?

Dus gebruik gewoon Firefox, de laatste stabiele versie van Firefox zou ik zeggen, en lees de namen.

[Reactie gewijzigd door dusty-2011 op 23 juli 2024 16:07]

telenut @MrMarcie • 16 augustus 2017 14:02

ja want bij FF zitten er geen ontwikkelaars van extensies die zich laten vangen door een phishing mail...

NiLSPACE @telenut • 16 augustus 2017 14:37

Bij Mozilla moet de extensie eerst gereviewd worden door mensen van Mozilla of vrijwilligers waardoor de kans dat zulk soort code door komt in elk geval veel kleiner is.

Daarnaast moeten de extensies eerst gesigned worden waardoor Mozilla bij iedereen een extensie weg kan halen als uiteindelijk toch blijkt dat deze malware bevat.

Carlos0_0 @MrMarcie • 16 augustus 2017 13:38

Je hoeft toch niet de dev versie te draaien van firefox ?, daarbij moet je misschien even de website bezoeken voordat het icoontje weer komt.

Als je dat er niet eens voor over heb dan kan je net zo goed nooit na een andere browser overstappen.

[Reactie gewijzigd door Carlos0_0 op 23 juli 2024 16:07]

Binky11 @MrMarcie • 16 augustus 2017 14:12

En de ESR versie van FF?

MrMarcie @Binky11 • 16 augustus 2017 16:56

Ook niet want het is al sinds versie 48 of 52 geloof ik. Maar dank je voor je suggestie.

ocwil @Wim-Bart • 16 augustus 2017 13:31

Dat is wel wat overdreven niet.
Het gaat hier om echt gerichte phising aanvallen, dat is niet het zelfde als dat je zo'n mailtje van je "bank" krijgt in gebrekkig nederlands of van apple terwijl je niet eens een icloud account hebt.

Wim-Bart @ocwil • 16 augustus 2017 13:45

1 van de belangrijkste zaken in bescherming van jezelf en je gegevens en accounts is:

Nooit inloggen vanaf een e-mail opgegeven adres.

Staat er in een e-mail bijvoorbeeld: Controleer uw Google profiel, log hier in.

Geloof je het mailtje, dan nog open je je Google profiel via een aparte browser sessie via een normale url die je normaal gebruikt en niet uit je e-mail. Als er bijvoorbeeld staat: http://profiel.tinyurl.com/google dan nog ga je gewoon naar https://google.com. Per e-mail is alles tenslotte verdacht.

teunw @Wim-Bart • 16 augustus 2017 13:30

Het kan iedereen overkomen, je hoeft maar een keer even niet goed op te letten en je bent al de dupe.

telenut @teunw • 16 augustus 2017 14:01

ze gebruiken in elk geval geen 2FA. Maakt ze in mijn ogen toch ontwikkelaars die niet echt gericht zijn op veiligheid...

.oisyn Moderator Devschuur® @telenut • 16 augustus 2017 14:16

ze gebruiken in elk geval geen 2FA

Waaruit trek je die conclusie? De phishing site kan op de achtergrond gewoon direct inloggen bij Google, en de 2FA request doorsluizen. Daarna hebben ze een geldige login sessie.

lukjah @Wim-Bart • 16 augustus 2017 13:40

Ongelovelijk, en dat zijn dus ontwikkelaars? Die hun google account en wachtwoord zo maar afgeven. Dit soort mensen dient men te steriliseren en hopen dat ze zich niet voortplanten. Zelfs mijn moeder van 80 weet dat ze geen gebruikersnamen en wachtwoorden moet afgeven.

Beginnen maar met jou dan? Dit vind ik op je website die je hebt opgegeven in je tweakers profiel: https://www.vanderwaals.n...echtalk/4-ik-ben-gehacked

[Reactie gewijzigd door lukjah op 23 juli 2024 16:07]

Wim-Bart @lukjah • 16 augustus 2017 13:48

Dat kan gebeuren, Joomla moet ook onderhouden worden en dit had niks met phishing te maken. Probeer maar eens op de /administrator url te komen, dat gaat je niet lukken. En als het wel lukt, want Apache heeft ook fouten zit je nog met 2FA op de admin accounts. Maar Phising is gewoon iets doms, software bugs is wat anders, zelfs de grootste ontwikkelaars maken wel eens een fout.

Een programmeerfout: kan gebeuren
Een phishing-fout: is gewoon dom

[Reactie gewijzigd door Wim-Bart op 23 juli 2024 16:07]

EpicKip @Wim-Bart • 16 augustus 2017 15:36

Als het jou gebeurt is het een foutje? ga toch weg joh

Wim-Bart @EpicKip • 17 augustus 2017 14:05

Denk dat je twee dingen door elkaar haalt. Een dom iets zoals in phishing trappen of een software bug in een cms. Twee totaal verschillende dingen.

EpicKip @Wim-Bart • 17 augustus 2017 15:23

En daarom heb je alles dicht moeten zetten, vanwege de software bug.... Je had je zooi gewoon niet goed beveiligd en nu loop je hier mensen dom te noemen omdat ze in phishing trappen. phishing is niet meer zoals vroeger met gebrekkig Engels of vreemde mailadressen waar alleen ouderen of jonge kinderen in trappen, het is tegenwoordig een stuk geniepiger en "beter".

Met de uitstraling die je hier afgeeft durf ik te wedden dat als ze net het goeie sturen jij er ook wel in trapt (dit denk ik door die naïve opmerkingen van jou).

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (55)

Sorteer op:

Weergave: