Microsoft heeft 119 malware-varianten vermomd als extensies uit de Edge Add-ons store gehaald. Deze extensies deden zich voor als doodgewone tools. Samen telden ze 2,6 miljoen gebruikers. De extensies stalen inloggegevens en 2FA-codes en fungeerden als backdoor op besmette systemen.
Het leken onschuldige hulpmiddelen: een adblocker, een vpn, een vertaaltool of een video-downloader. De 119 ontdekte extensies bleken echter verzamelaars van gevoelige data of verspreiders van exploits voor remote code execution (RCE).
Microsoft meldt dat het de extensies inmiddels heeft verwijderd en de negentig betrokken ontwikkelaarsaccounts heeft geschorst. Ook is volgens het techbedrijf de detectie van malafide extensies verbeterd.
Wat de extensies precies deden
De kern van de aanval was een zogeheten RCE-backdoor. Daarmee konden aanvallers na installatie aanvullende malware op besmette systemen plaatsen. Eén module richtte zich op WordPress-admins, waarbij inloggegevens en session cookies werden gestolen.
Ook Google-accounts waren doelwitten. Tijdens het inloggen werden zowel wachtwoorden als 2FA-codes onderschept. Daardoor konden aanvallers de betreffende accounts eenvoudig overnemen. Daarnaast dienden de extensies voor advertentiefraude, doordat ze advertenties op websites injecteerden.
Advies aan gebruikers
Microsoft heeft een lijst met de malafide extensies gepubliceerd. Het bedrijf adviseert Edge-gebruikers om geregeld hun geïnstalleerde extensies te controleren en exemplaren te verwijderen die niet meer in gebruik zijn of niet worden herkend.
Lees ook: Fileless malware: oude trucs voor nieuwe aanvallen