KOI onthult dat Chrome- en Edge-extensies WeTab en Infinity V+ via stille updates browsers kapen, data en cookies stelen en verkeer omleiden. Lees meer.
© RusPhotoBank
WeTab en Infinity V+ liggen onder het vergrootglas nadat cyberspecialisten meldden dat deze en enkele andere Chrome-extensies mogelijk jarenlang browsers heimelijk hebben overgenomen en gevoelige gegevens hebben buitgemaakt. Volgens KOI raakten ongeveer 4,3 miljoen gebruikers van Chrome en Microsoft Edge betrokken bij een campagne die niet leunde op phishing of trucjes met social engineering, maar op stille updates van al populaire add-ons.
KOI schrijft de operatie toe aan een groep die het ShadyPanda noemt. De aanpak was ontnuchterend praktisch: eerst volledig werkende extensies aanbieden, een publiek, ratings en downloads opbouwen, en later updates doorsluizen met kwaadaardige code. Omdat winkels voor extensies strenger zijn bij de eerste beoordeling dan bij latere wijzigingen, konden tools die aanvankelijk betrouwbaar oogden ongemerkt blijven rondhangen. Het is een geduldspel dat een bekend blinde vlek uitbuit.
In het rapport van KOI worden meerdere incidenten geschetst, waaronder twee campagnes in 2023. In de eerste poseerden tientallen extensies als achtergrondpakketten en handige hulpmiddelen; zij zouden gebruikersgedrag hebben gevolgd en pagina-inhoud op sites als eBay, Amazon en Booking.com hebben aangepast door affiliatetags en trackers in te voegen om aankopen en verkeersdata te gelde te maken. In de tweede episode werden de kwaadaardige functies gekoppeld aan Infinity V+: de extensie leidde zoekopdrachten om naar een externe bron, onderschepte cookies, registreerde wat mensen in de zoekbalk typten en stuurde die gegevens naar servers buitenaf.
KOI beschrijft ook een ‘eerste fase’ waarin vijf extensies een achterdeur kregen die uitvoering van code op afstand mogelijk maakte, met een impact op circa 300.000 gebruikers. Sommige stonden al sinds 2018–2019 in de winkel en droegen zelfs badges die suggereerden dat ze aanbevolen waren; medio 2024, nadat de installatiecijfers waren opgelopen, zouden ze een update hebben gekregen die de achterdeur toevoegde. De module kon regelmatig opdrachten ophalen, willekeurige JavaScript downloaden, dat met browser-API-rechten uitvoeren en kwaadaardige HTTPS-inhoud in elke site injecteren. Daarnaast werd browserverleden, referrers, tijdstempels, persistente identifiers, een volledige browserfingerprint en andere data verzameld, terwijl de extensies zich rustiger hielden als de ontwikkelaarsmodus aanstond.
Het meest uitgebreide deel van het onderzoek richt zich op een ‘tweede fase’. KOI stelt dat nog eens vijf extensies van dezelfde ontwikkelaar in de Edge‑winkel belandden en samen de grens van 4 miljoen installaties overschreden, waarbij twee daarvan mogelijk de installatie van malware in gang konden zetten. De nieuw-tab-extensie WeTab trok de meeste aandacht: zij wordt toegeschreven ongeveer 3 miljoen installaties en het heimelijk versturen van telemetrie, waaronder bezochte URL’s, zoekresultaten, muisklikken, de browserfingerprint, interacties op de pagina en gebeurtenissen rond opslagtoegang. Die gegevens, aldus KOI, gingen langs tal van domeinen, terwijl het updatesysteem betekende dat gecompromitteerde browsers op elk moment als bestuurbare knooppunten voor vervolgaanvallen konden worden ingezet.
Alles bij elkaar laat dit zien hoe broos het vertrouwensmodel rond extensies is: zelfs een populaire, goed beoordeelde uitbreiding kan na een update van karakter veranderen. De praktische les is eenvoudig en blijft relevant: controleer de extensies die je hebt geïnstalleerd, verwijder wat je niet nodig hebt, bekijk de machtigingen kritisch en als de browser zich vreemd gedraagt, voer dan een systeemcheck uit en wijzig wachtwoorden—zeker als een extensie mogelijk toegang had tot cookies en je surfgeschiedenis. Wie vertrouwt op sterrenscores alleen, neemt hier simpelweg te veel risico.