Du troede, du havde installeret en ufarlig browserudvidelse, men i virkeligheden havde du inviteret en sovende trold indenfor. En trold, som nu pludselig har slået øjnene op efter år i dvale.
Dette er oplevelsen for millioner af pc-brugere, som i årevis levede i fred og fordragelighed med browserudvidelser, som endda var nyttige og gjorde deres job godt.
Som sikkerhedsfirmaet KOI.AI kan berette var der tale om en række tilsyneladende harmløse browserudvidelser, kendt som “sleeper extensions”, som har været installeret i op til syv år uden at gøre skade.
Opdateret med skjult malware
Efter en årelang periode, hvor de har opført sig helt efter hensigten, blev de pågældende udvidelser imidlertid opdateret med skjult malware.
Pludselig begyndte de at indsamle brugerdata, overvåge browserhistorikken og køre skadelig kode direkte i browseren.
Ifølge forskerne fra KOI har de farlige udvidelser ramt i alt cirka 4,3 millioner brugere af Google Chrome og Microsoft Edge.
Startede som normale udvidelser
De inficerede udvidelser - herunder en populær udvidelse kaldet WeTab - startede som normale værktøjer til fx fanestyring, pdf-redigering, temaer med mere. Fordi de fungerede uden problemer i årevis, blev de hentet af mange og opnåede endda “Featured” eller “Verified” status i både Chrome Web Store og Edge-butikken.
Ifølge KOI blev udvidelserne dog opdateret i midten af 2024 med trojan-agtig funktionalitet. Det betyder, at bagmændene derefter kunne følge med i besøgte websites og logge søgninger. Den mest udbredte af udvidelserne, WeTab, havde omkring 3 millioner installationer på Edge.
Det er ikke første gang, den slags angreb har fundet sted. Det nye er, at så mange mennesker nåede at installere og bruge udvidelserne i god tro, før faren blev opdaget.
Sådan tjekker du om du er ramt
Du bør manuelt gennemgå dine installerede udvidelser i Chrome og Edge og fjerne dem, der er mistænkelige eller unødvendige.
KOI Security har offentliggjort en lang liste med ID-numre på de kendte ondsindede udvidelser. Hvert ID-nummer består af 32 bogstaver.
Her er listen over skadelige udvidelser og deres ID numre (Tjek under overskrifterne Chrome Extensions og Edge Add-ons).
Sådan tjekker du browserudvidelser i Chrome
Der vises ingen pop-op advarsel eller automatisk besked, hvis du har en af de ondsindede udvidelser installeret. Du skal selv gennemgå listen manuelt. Heldigvis er processen enkel.
- Åbn Chrome.
- Skriv chrome://extensions i adresselinjen og tryk Enter.
- Øverst til højre slår du nu Developer mode / Udviklertilstand til. Der vises nu tekniske oplysninger under hver udvidelse. Kig efter feltet “ID” under hver udvidelse.
- Sammenlign ID’et med den liste over skadelige IDs, som forskerne har offentliggjort.
Finder du et match, så klik på "Remove / Fjern" med det samme.
Sådan tjekker du browserudvidelser i Edge
- Åbn Microsoft Edge.
- Skriv edge://extensions i adresselinjen.
- Slå Developer mode / Udviklertilstand til i venstre sidepanel.
- Klik på Detaljer ved hver udvidelse.
- Tjek ID-nummeret i browserens adresselinje. Sammenlign med listen over inficerede ID-numre.
Hvis der er sammenfald mellem ID-numrene i din browser og KOI's liste, skal du straks fjerne udvidelserne.
Her i artiklen får du hjælp til at fjerne udvidelser i henholdsvis Edge og Chrome.
