KOI avslöjar hur WeTab och Infinity V+ samt fler Chrome/Edge-tillägg kapat webbläsare via tysta uppdateringar, samlat telemetri och cookies. Råd för säkerhet.
© RusPhotoBank
WeTab och Infinity V+ granskas nu sedan cybersäkerhetsexperter slagit larm om att dessa och flera andra Chrome-tillägg kan ha kapat webbläsare i det tysta och samlat in känsliga uppgifter under flera år. Enligt KOI drogs omkring 4,3 miljoner användare av Chrome och Microsoft Edge in i kampanjen, som inte byggde på nätfiske eller social ingenjörskonst utan på tysta uppdateringar av redan populära tillägg. Ett upplägg som är lika lågmält som effektivt.
KOI tillskriver operationen en grupp som kallas ShadyPanda. Taktiken var snudd på brutal i sin enkelhet: släpp fullt fungerande tillägg, bygg publik, betyg och nedladdningar över tid – och smyg sedan in uppdateringar med skadlig kod. Eftersom tilläggsbutiker oftast granskar första versionen hårdare än senare ändringar kan verktyg som ser pålitliga ut bli kvar länge utan att väcka uppmärksamhet. Ett tålamodstest som utnyttjar en välkänd blind fläck.
I sin rapport beskriver KOI flera incidenter, däribland två kampanjer under 2023. I den första ska dussintals tillägg som utgav sig för att vara bakgrundsbilder och små nyttoprogram ha spårat användarbeteende och ändrat sidinnehåll på sajter som eBay, Amazon och Booking.com genom att injicera affiliate-taggar och spårare för att tjäna pengar på köp och trafikdata. I den andra kopplas de skadliga funktionerna till Infinity V+: tillägget omdirigerade sökningar till en extern resurs, fångade cookies, loggade vad användare skrev i sökfältet och skickade ut datan till externa servrar.
KOI beskriver också ett ”första steg” där fem tillägg fick en bakdörr som möjliggjorde fjärrkörning av kod och påverkade omkring 300 000 användare. Vissa hade funnits listade sedan 2018–2019 och bar till och med märken som antydde att de var rekommenderade; under mitten av 2024, efter att installationerna ökat, ska de ha fått en uppdatering som lade till bakdörren. Modulen kunde regelbundet hämta kommandon, ladda ned godtycklig JavaScript-kod, köra den med webbläsar-API:ns privilegier och injicera skadligt HTTPS-innehåll på valfri sajt. Den samlade även in webbhistorik, hänvisningar (referrers), tidsstämplar, persistenta identifierare, en fullständig webbläsarfingeravtrycksprofil och annan data, samtidigt som den försökte hålla en låg profil om utvecklarläget var aktiverat.
Den mest omfattande delen av forskningen fokuserar på ett ”andra steg”. KOI säger att ytterligare fem tillägg från samma utvecklare tog sig in i Edge-butiken och tillsammans passerade 4 miljoner installationer, varav två potentiellt kunde initiera installation av skadlig kod. Tillägget för ny flik WeTab hamnade i centrum: det tillskrivs omkring 3 miljoner installationer och att det i hemlighet skickade telemetri, inklusive besökta webbadresser, sökresultat, musklick, webbläsarens fingeravtryck, interaktioner på sidan och händelser kopplade till åtkomst av lagring. Datan, enligt KOI, flödade över många domäner, och uppdateringsmekanismen innebar att komprometterade webbläsare när som helst kunde göras om till styrbara noder för vidare attacker.
Allt detta blottar hur skört förtroendet kring tillägg egentligen är: även ett populärt, välrecenserat verktyg kan byta skepnad efter en uppdatering. Råden är vardagliga men nödvändiga: gå igenom dina installerade tillägg, ta bort sådant du inte behöver, granska behörigheterna noga och, om webbläsaren beter sig märkligt, kör en systemkontroll och byt lösenord, särskilt om ett tillägg kan ha kommit åt cookies och din surfhistorik.