Onderzoekers hebben in de Chrome Web Store meer dan zeventig malafide extensies ontdekt die bij elkaar ruim 32 miljoen keer waren gedownload. Google heeft de extensies inmiddels uit de Web Store verwijderd. Dat laat securitybedrijf Awake Security tegenover persbureau Reuters en via de eigen website weten.

De Chrome-extensies deden zich onder andere voor als tools om bestanden naar een ander formaat om te zetten of gebruikers voor dubieuze websites te waarschuwen. In werkelijkheid werden screenshots gemaakt, het clipboard uitgelezen, informatie uit cookies, parameters en toetsaanslagen verzameld en teruggestuurd. De aanvallers hebben zo toegang gekregen tot de netwerken van farmaceutische bedrijven, overheidsinstanties, onderwijsinstellingen, mediabedrijven en zorgondernemingen, aldus Awake Security.

Om de Chrome Web Store te omzeilen installeerden sommige van de extensies een versie van Chromium, de opensourcebrowser waarop Chrome is gebaseerd. "Omdat de meeste gebruikers niet het verschil tussen Chrome en Chromium herkennen, maken ze de nieuwe browser wanneer gevraagd vaak hun standaardbrowser", aldus het securitybedrijf. De nieuwe browser laadde vervolgens allerlei malafide extensies.

De ontwikkelaars van de malafide extensies hadden daarnaast maatregelen genomen om detectie te voorkomen. Wanneer de extensies vanaf een thuiscomputer werden gebruikt maakten ze verbinding met een reeks domeinen en verstuurden de eerder genoemde informatie. Bij gebruik vanaf een bedrijfsnetwerk werd dit niet gedaan. Voor de operatie werden meer dan 15.000 domeinen geregistreerd.

Wanneer Google extensies uit de Web Store verwijdert worden ze bij Chrome-gebruikers gedeactiveerd en aangemerkt als malafide, zodat gebruikers weten dat ze die niet moeten inschakelen. Een overzicht van de malafide extensies is in dit bestand te vinden.