Hackers richten zich weer op ontwikkelaars van Google Chrome-extensies

Ontwikkelaars van extensies voor Google Chrome zijn het nieuwste doelwit van hackers. Naar het schijnt proberen hackers ontwikkelaars zover te krijgen om naar een phishing-site te surfen, waar ze vervolgens hun inloggegevens kunnen stelen.

Dat meldt de site ZDNet vandaag op basis van eigen onderzoek. De hackers willen de inloggegevens hebben, zodat ze kunnen inloggen op Chrome Web Store-dashboards en vervolgens malware kunnen verstoppen in legitieme Google-extensies. Het is vermoedelijk een reactie op strengere controles, waardoor het moeilijker wordt om überhaupt malware te uploaden in de Chrome-extensiestore.

Vergelijkbare campagne

Vorig jaar vond er in de zomer een soortgelijke malwarecampagne plaats. Toen werden diverse Chrome-ontwikkelaars ook al slachtoffer van dit soort aanvallen en werden hun extensies overgenomen door aanvallers. Die extensies werden vervolgens voorzien van advertenties die aan gewoon internetverkeer toegevoegd werden.

Onder meer extensies als Chrometana, Copyfish, Infinity New Tab, Social Fixer, TouchVPN en Web Paint werden aangepast, nadat de ontwikkelaars daarvan per ongeluk op phishing-mails klikten. Nu richt een nieuwe campagne zich dus weer op ontwikkelaars van Chrome-extensies. Dat werd door diverse ontwikkelaars aan ZDNet bevestigd.

Geldig postadres

In de nieuwste ronde phishing-spam verstuurden aanvallers mails die ondertekend zijn door ene Kevin Murphy, die zogenaamd een medewerker van het Chome Web Store Team zou zijn. In de mail wordt de ontwikkelaars verzocht om een geldig postadres in te vullen. Doen ze dat niet, dan wordt er gedreigd met het opheffen van hun accounts.

In de mail staat een linkje naar een Google Form, maar erop klikken leidt de gebruiker naar een heel ander domein. Daar wordt vervolgens gevraagd of de gebruiker kan inloggen met zijn of haar Google-account. Daarop lijkt het erop dat de gebruiker terecht komt op een echte pagina van Google. Een onoplettende ontwikkelaar zou daar dan zijn inloggegevens kunnen invullen, waarna de hackers beet hebben.

Google maakt nooit gebruik van Google Forms om accountinstellingen te beheren. Ontwikkelaars van extensies die mogelijk het formulier ingevuld hebben, wordt verzocht hun wachtwoord te veranderen en hun extensie te scannen op onbekende of verdachte code.