Malafide VPN-service steelt in stilte wachtwoorden van meer dan 170 websites

Malafide VPN-extensie in Chrome Web Store steelt wachtwoorden van 170+ websites: “diagnostische tool” blijkt datadief

Twee browserextensies onder de naam “Phantom Shuttle” leken onschuldige VPN-tools voor web developers, maar bleken in werkelijkheid inloggegevens te stelen van meer dan 170 diensten. De extensies stonden gewoon in de Chrome Web Store, waar Google ze blijkbaar niet heeft gecontroleerd. Het incident onderstreept opnieuw hoe kwetsbaar browserextensies zijn – en hoe slecht het toezicht is.

Browserextensies zijn handig. Ze voegen functies toe die je browser standaard niet heeft, van adblockers tot wachtwoordbeheerders en VPN’s. Maar ze zijn ook een beveiligingsrisico. Want eenmaal geïnstalleerd, hebben ze vaak vergaande toegang tot alles wat je doet in je browser: wachtwoorden, bankgegevens, privéberichten. En zoals opnieuw blijkt uit de ontdekking van de malafide “Phantom Shuttle”-extensies, is het toezicht op wat er in de Chrome Web Store wordt aangeboden dramatisch slecht. Twee extensies, gepresenteerd als diagnostische VPN-tools, bleken stilletjes wachtwoorden en gevoelige data te stelen van meer dan 170 websites. En Google had het niet door.

Phantom Shuttle: VPN-tool of trojaans paard?

De twee extensies, beide ontwikkeld door dezelfde maker en beide onder de naam “Phantom Shuttle”, werden gepresenteerd als VPN-service voor diagnostische doeleinden. Dat klinkt niche, maar is legitiem: web developers gebruiken dergelijke tools om netwerkverkeer te testen, snelheden te meten en verbindingen te debuggen. De service was zelfs betaald, wat haar geloofwaardiger maakte – criminelen vragen toch geen geld voor malware?

Maar achter die onschuldige façade zat kwaadaardige code. Na installatie activeerde de extensie stilletjes een script dat inloggegevens onderschepte: gebruikersnamen, wachtwoorden en sessiecookies van meer dan 170 diensten. Het ging om een brede mix: sociale mediaplatformen, cloudopslag, zakelijke systemen. Alles wat je intypte in een inlogveld, werd gekopieerd en doorgestuurd naar servers van de aanvallers.

Erger nog: de extensie kon browserverkeer omleiden via servers van de cybercriminelen. Dat betekent dat ze niet alleen inloggegevens konden stelen, maar ook álles wat je in je browser deed konden zien en manipuleren. Invulformulieren, betalingsgegevens, privéberichten – niets was veilig.

Hoe kon dit door de controle van Google?

De grote vraag is: hoe kwamen deze extensies überhaupt in de Chrome Web Store? Google claimt dat extensies worden gescreend voordat ze worden toegelaten, maar de realiteit is duidelijk anders. Malafide extensies duiken met regelmaat op, en blijven vaak maanden of zelfs jaren online voordat ze worden ontdekt – meestal niet door Google, maar door externe beveiligingsonderzoekers.

Het probleem zit in meerdere lagen:

  1. Geautomatiseerde screening is onvoldoende: Google vertrouwt grotendeels op geautomatiseerde scans om malware te detecteren. Maar slimme aanvallers weten hoe ze die scans kunnen omzeilen. Ze verbergen kwaadaardige code, gebruiken obfuscatie-technieken, of activeren de malware pas na een update.
  2. Eenmaal goedgekeurd, weinig controle: Als een extensie eenmaal is toegelaten, wordt er amper nog naar gekeken. Extensies kunnen automatisch updaten zonder dat Google elke versie opnieuw grondig controleert. Dat maakt het makkelijk voor criminelen: lanceer een onschuldige extensie, bouw een gebruikersbestand op, en voeg later stilletjes malware toe.
  3. Volume te groot: Er zijn tienduizenden extensies in de Chrome Web Store. Google kan niet alles handmatig controleren. Maar dat rechtvaardigt niet het gebrek aan toezicht. Als je een platform beheert waar miljoenen mensen extensies downloaden, heb je de verantwoordelijkheid om dat veilig te houden.

Het patroon herhaalt zich keer op keer. Een ogenschijnlijk legitieme extensie, soms zelfs met goede reviews (die vaak nep blijken), blijkt achteraf malware. Tegen de tijd dat het wordt ontdekt, zijn er al duizenden of tienduizenden slachtoffers.

170+ websites: een brede aanval

De lijst van 170+ getroffen diensten is breed en gevarieerd. Het gaat niet alleen om grote platformen zoals Facebook, Google of LinkedIn, maar ook om zakelijke tools, cloudopslag, financiële diensten en meer. Dat suggereert dat de aanvallers niet selectief waren – ze stalen álles wat ze konden pakken.

Met gestolen inloggegevens kunnen criminelen:

  • Accounts overnemen: inloggen op sociale media, e-mail, cloudopslag en alles wat verbonden is.
  • Identiteitsfraude plegen: gebruikmaken van persoonlijke informatie voor oplichting of het openen van valse accounts.
  • Verdere aanvallen uitvoeren: gestolen credentials gebruiken om binnen te dringen in bedrijfsnetwerken of andere systemen.
  • Data doorverkopen: inloggegevens worden verhandeld op dark web-markten, waar ze worden gekocht door andere criminelen.

Sessiecookies zijn bijzonder waardevol, want daarmee kun je inloggen zonder wachtwoord te kennen. Zelfs als het slachtoffer zijn wachtwoord wijzigt, kan de aanvaller via de cookie toegang behouden – totdat de sessie verloopt of handmatig wordt beëindigd.

Browserverkeer omleiden: het ultieme spionage-instrument

Het onderscheppen van inloggegevens is al erg genoeg, maar de mogelijkheid om browserverkeer om te leiden is nóg gevaarlijker. Daarmee kunnen aanvallers:

  • Alle communicatie monitoren: elk bericht, elke zoekopdracht, elke website die je bezoekt.
  • Data manipuleren: webpagina’s aanpassen, nepinformatie tonen, of malware injecteren.
  • Man-in-the-middle aanvallen uitvoeren: zich voordoen als de website waarmee je communiceert, en alles onderscheppen.

Dit soort controle maakt de extensie extreem krachtig. Het is niet zomaar een wachtwoordendief, het is een complete spionagetool. En het draaide stilletjes op de achtergrond, zonder dat slachtoffers iets merkten.

Waarom vallen browserextensies zo vaak aan?

Browserextensies zijn een ideaal doelwit voor cybercriminelen, om meerdere redenen:

  1. Brede toegang: Eenmaal geïnstalleerd, hebben extensies vaak toegang tot alles wat je doet in je browser. Wachtwoorden, formulieren, cookies, browsing-geschiedenis – het is allemaal beschikbaar.
  2. Gebruikers vertrouwen ze: Mensen installeren extensies zonder veel nadenken. “Het staat in de Chrome Web Store, dus het zal wel veilig zijn.” Dat vertrouwen wordt misbruikt.
  3. Weinig toezicht: Zoals blijkt uit dit incident, is de controle van Google onvoldoende. Malafide extensies komen door de screening, en blijven vaak lang onopgemerkt.
  4. Automatische updates: Extensies kunnen zichzelf updaten zonder expliciete toestemming van de gebruiker. Dat maakt het makkelijk om later malware toe te voegen.
  5. Moeilijk te detecteren: Malware in extensies is vaak goed verborgen. Antivirussoftware scant doorgaans geen browserextensies grondig, en gebruikers merken niet dat er iets mis is totdat het te laat is.

Wat kunnen gebruikers doen?

Het advies is altijd hetzelfde, maar blijft relevant:

  1. Wees selectief: Installeer alleen extensies die je echt nodig hebt, van ontwikkelaars die je vertrouwt.
  2. Check recensies en downloads: Veel downloads en goede reviews zijn geen garantie, maar het is beter dan een obscure extensie met 5 downloads.
  3. Bekijk de rechten: Als een extensie meer rechten vraagt dan logisch lijkt (bijvoorbeeld: een adblocker die toegang wil tot je camera), installeer hem dan niet.
  4. Houd je extensies beperkt: Hoe minder extensies, hoe kleiner het aanvalsoppervlak.
  5. Update regelmatig en verwijder ongebruikte extensies: Oude, niet-onderhouden extensies zijn vaak kwetsbaar.
  6. Gebruik tweetrapsauthenticatie (2FA): Zelfs als je wachtwoord wordt gestolen, biedt 2FA een extra beveiligingslaag.

Maar uiteindelijk is de verantwoordelijkheid niet alleen van gebruikers. Google moet zijn toezicht verscherpen.

Google moet beter

De Chrome Web Store is een van de grootste ecosystemen voor browserextensies. Miljoenen mensen vertrouwen erop dat wat daar staat, veilig is. Dat vertrouwen wordt keer op keer beschaamd.

Google heeft de middelen, de expertise en de data om dit beter te doen. Strengere controles, handmatige reviews voor extensies met gevoelige rechten, snellere respons bij meldingen van malware – het is allemaal mogelijk. Maar zolang het toezicht zo zwak blijft, blijven gebruikers kwetsbaar.

Het is niet acceptabel dat malafide extensies maandenlang in de store staan terwijl ze duizenden slachtoffers maken. Google moet hier verantwoordelijkheid nemen, niet alleen door extensies te verwijderen nadat ze zijn ontdekt, maar door te voorkomen dat ze er überhaupt in komen.

Conclusie: browserextensies blijven een risico

De ontdekking van de Phantom Shuttle-extensies is opnieuw een wake-upcall. Browserextensies zijn handig, maar gevaarlijk. Het toezicht is zwak, de risico’s zijn groot, en gebruikers betalen de prijs.

Voor wie getroffen is: wijzig al je wachtwoorden, schakel 2FA in waar mogelijk, en monitor je accounts op verdachte activiteit. Voor wie nog niet getroffen is: wees voorzichtig met wat je installeert, en vertrouw niet blind op de Chrome Web Store.

En voor Google: doe beter. Want dit had nooit mogen gebeuren.

Leave a Reply

Je e-mailadres zal niet getoond worden. Vereiste velden zijn gemarkeerd met *

Trending

Windows 11-bug verbergt wachtwoord-knop
Windows 11-bug verbergt wachtwoord-knop: onhandig, maar typerend voor Microsoft’s kwaliteitscontrole
Dell - Microsoft Windows
Dell: mensen weigeren massaal Windows 11, zelfs als hun pc het aankan – en dat zegt genoeg
Netflix legt casten verder aan banden
Netflix blokkeert casten: “betere ervaring” of gewoon meer controle (en advertenties)?
OnePlus zet AI-schrijftool uit na controverse over geblokkeerde vragen