Gevaarlijke Chrome-extensie steelt al je wachtwoorden en kapt je browser

Door /

Verborgen malware verspreidt zich als populaire adblocker

Een kwaadaardige browserextensie doet zich voor als een betrouwbare advertentieblokkeerder, maar installeert in werkelijkheid geavanceerde malware op je apparaat. Deze nepextensie geeft cybercriminelen volledige toegang tot jouw persoonlijke gegevens.

De extensie veroorzaakt niet alleen ernstige crashes in Chrome en Edge, maar installeert ook spyware die gevoelige informatie steelt. Denk hierbij aan wachtwoorden voor al je accounts, toegangscodes voor crypto-wallets en inloggegevens voor internetbankieren.

Cybersecuritybedrijf Huntress ontdekte deze dreiging en linkt de aanval aan een beruchte hackersgroep die bekendstaat onder de naam KongTuke.

De gebruikte techniek heet ClickFix, maar deze specifieke variant kreeg de naam CrashFix vanwege de manier waarop het kritieke browserproblemen nabootst om slachtoffers te manipuleren.

Zo werkt de valse extensie die zich voordoet als uBlock Origin Lite

De schadelijke extensie verspreidt zich onder de naam NexShield en imiteert uBlock Origin Lite, een legitieme en veelgebruikte versie van een bekende adblocker. Volgens analyses van Huntress verschijnt deze extensie tussen de eerste zoekresultaten wanneer gebruikers zoeken naar alternatieven voor advertentieblokkering, wat het aantal installaties aanzienlijk verhoogt.

Na installatie in je browser vertoont NexShield aanvankelijk geen verdacht gedrag. De extensie blijft ongeveer een uur inactief, wat de indruk van legitimiteit versterkt en de kans verkleint dat gebruikers deze preventief verwijderen.

Na deze initiële periode wordt de aanval geactiveerd. Op dat moment begint de extensie systeembronnen extreem te belasten, overbelast de processor en het geheugen totdat de browser volledig vastloopt. Voor de gebruiker lijkt de situatie op een ernstige technische storing, zonder duidelijke aanwijzingen dat dit een opzettelijke actie is.

Wanneer je gedwongen wordt de browser te sluiten en opnieuw op te starten, verschijnt een vervalste waarschuwing. Deze melding geeft aan dat de vorige afsluiting “abnormaal” was en stelt voor een beveiligingscontrole uit te voeren om het vermeende probleem op te lossen. Na enkele minuten verschijnt een nieuw scherm met gedetailleerde instructies om “de fout te herstellen”, inclusief het kopiëren en uitvoeren van een opdracht in het besturingssysteem.

Deze stap vormt het cruciale element van de aanval. Door de opdracht uit te voeren, download en installeert het slachtoffer een kwaadaardig script dat op de achtergrond draait. Volgens onderzoekers stelt deze malware aanvallers in staat gegevens van je computer te stelen en geeft het mogelijkheden voor bediening op afstand, waarbij wachtwoorden, persoonlijke informatie en andere kritieke data worden blootgesteld.

Wat te doen als de extensie geïnstalleerd is in Chrome of Edge

Vermoed je dat je NexShield hebt geïnstalleerd of een andere extensie die uBlock Origin Lite imiteert? Verwijder deze dan onmiddellijk via de extensiebeheerder van je browser. In Chrome en Edge navigeer je gewoon naar het extensiegedeelte, zoek je de verdachte naam en verwijder je deze volledig.

Na verwijdering van de extensie is het sterk aanbevolen een volledige systeemscan uit te voeren met betrouwbare beveiligingssoftware, omdat de aanval het downloaden van malware omvat die mogelijk nog steeds actief is op de achtergrond.

Het is ook essentieel om alle wachtwoorden te wijzigen die in de geïnfecteerde browser werden gebruikt, vooral die voor e-mail, financiële accounts, crypto-wallets en internetbankieren.

Welke signalen helpen bij het herkennen van kwaadaardige extensies?

Sommige extensies vertonen duidelijke risicosignalen, zelfs wanneer ze via officiële stores worden verspreid.

Een van de eerste zaken om te controleren zijn de gevraagde machtigingen: een advertentieblokkeerder zou geen volledige toegang tot het systeem nodig moeten hebben, noch tot alle bezochte websites of het uitvoeren van processen buiten de browser.

Gedrag vormt eveneens een belangrijk signaal. Overdreven processor- of geheugengebruik, onverwachte browsercrashes of foutmeldingen die verschijnen zonder voorafgaande gebruikersactie kunnen aangeven dat de extensie functies uitvoert die niets met het oorspronkelijke doel te maken hebben.

Een ander waarschuwingsteken is het verschijnen van meldingen die vragen om acties buiten de browser uit te voeren. Geen enkele legitieme extensie zou gebruikers moeten vragen opdrachten te kopiëren en uit te voeren in het besturingssysteem om “fouten te herstellen” of “beveiliging te herstellen”. Dergelijke instructies maken vaak deel uit van social engineering-schema’s die ontworpen zijn om stiekem malware te installeren.

Waarschuwing over risico’s van browserextensies

De NexShield-zaak benadrukt een van de meest onderschatte aanvalsvectoren door gebruikers: browserextensies. Hoewel ze via officiële stores worden verspreid en namen gebruiken die lijken op bekende tools, kunnen deze extensies toegangspoorten worden voor grootschalige gegevensdiefstal-campagnes.

Het is ook cruciaal om te onthouden dat geen enkele legitieme advertentieblokkeringstool zou moeten vereisen dat je handmatig opdrachten uitvoert of opzettelijk systeemcrashes veroorzaakt. Het zorgvuldig controleren van de exacte ontwikkelaarsnaam, het aantal downloads en de gevraagde machtigingen behoort tot de weinige effectieve barrières tegen dit soort fraude.

Gerelateerde berichten

Laat een reactie achter

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Scroll naar boven