Du trodde at du hadde installert en ufarlig nettleserutvidelse, mens du i virkeligheten har sluppet inn en potensiell trussel, som plutselig er aktivert etter årevis i dvalemodus.
Dette er opplevelsen til millioner av pc-en-brukere som i årevis har levd i fred og fordragelighet med nettleserutvidelser som både var nyttige og løste oppgaven sin på en god måte.
Som sikkerhetsselskapet KOI.AI rapporterer, var dette en serie tilsynelatende ufarlige nettleserutvidelser, kjent som «sleeper extensions», som hadde vært installert i opptil syv år uten å gjøre noen skade.
Oppdatert med skjult skadevare
Etter å ha oppført seg som forventet i en årrekke, ble imidlertid de aktuelle utvidelsene oppdatert med skjult skadevare.
Plutselig begynte de å samle inn brukerdata, overvåke nettleserloggen og kjøre skadelig kode direkte i nettleseren.
Ifølge forskere ved KOI har de farlige utvidelsene påvirket i alt rundt 4,3 millioner brukere av Google Chrome og Microsoft Edge.
Startet som normale utvidelser
De infiserte tilleggene, deriblant en populær utvidelse kalt WeTab, startet som normale verktøy for administrasjon av faner, pdf-redigering, temaer og mer. Fordi de fungerte problemfritt i årevis, ble de lastet ned av mange og oppnådde til og med statusen «Utvalgt» eller «Verifisert» i nettmarkedene til både Chrome og Edge.
Ifølge KOI ble imidlertid utvidelsene oppdatert i midten av 2024 med trojanerlignende funksjoner. Dermed kunne bakmennene spore besøkte nettsider og loggføre søk. Den mest brukte utvidelsen, WeTab, var installert i rundt tre millioner Edge-lesere.
Det er ikke første gang slike angrep har funnet sted. Det nye er at så mange rakk å installere og bruke utvidelsene i god tro før trusselen ble oppdaget.
Slik sjekker du om du er berørt
Du bør gjennomgå de installerte utvidelsene i Chrome og Edge manuelt, og fjerne alle som er mistenkelige eller unødvendige.
KOI Security har publisert en lang liste med ID-er for kjente ondsinnede utvidelser. Hver ID består av 32 bokstaver.
Her er listen over ondsinnede utvidelser og de respektive ID-ene (Sjekk under overskriftene Chrome Extensions og Edge Add-ons).
Slik sjekker du nettleserutvidelser i Chrome
Det vises ingen advarsel eller automatisk melding hvis en av de skadelige utvidelsene er installert. Derfor må du gå gjennom listen manuelt. Det er heldigvis en enkel sak.
- Åpne Chrome.
- Skriv chrome://extensions i adressefeltet og trykk Enter.
- Slå på Utviklermodus øverst til høyre. Nå ser du teknisk informasjon under hver utvidelse. Se etter «ID»-feltet under hver utvidelse.
- Sammenlign ID-en med listen som er publisert av forskerne, over ondsinnede ID-er.
Hvis du finner en match, klikker du umiddelbart på «Fjern».
Slik sjekker du nettleserutvidelser i Edge
- Åpne Microsoft Edge.
- Skriv edge://extensions i adressefeltet.
- Slå på Utviklermodus i venstre sidepanel.
- Klikk på Detaljer for hver utvidelse.
- Sjekk ID-en i nettleserens adressefelt. Sammenlign med listen over infiserte ID-er.
Er det samsvar mellom ID-ene i nettleseren og i listen fra KOI, fjerner du utvidelsene umiddelbart.
I denne artikkelen finner du detaljert hjelp til å fjerne utvidelser i henholdsvis Edge, Chrome og Firefox.
