Chrome-gebruikers opgepast: deze gevaarlijke extensie sloopt je computer

In dit artikel:

Een recent voorbeeld laat zien hoe een schijnbaar onschuldige Chrome-extensie je systeem binnen no time kan saboteren en gebruiken om zelf malware binnen te halen. De extensie heette NexShield en presenteerde zich als een lichte, privacygerichte adblocker. Via betaalde advertenties verscheen de nep-extensie bovenaan zoekresultaten, en zelfs de identiteit van de ontwikkelaar van uBlock Origin werd misbruikt om vertrouwen te wekken. Eén klik bleek voldoende om het probleem in gang te zetten.

In de praktijk blokkeerde NexShield geen advertenties. In plaats daarvan raakte Chrome langzaam onbruikbaar: tabbladen hingen, de browser reageerde traag en CPU-/RAM-gebruik liep sterk op. Zodra de browser crasht of wordt herstart, toont de extensie een alarmmelding met een zogenaamd herstelpad. De aangeboden ‘oplossing’ bestaat uit instructies waarmee gebruikers worden aangespoord commando’s te kopiëren en in de Windows-opdrachtprompt te plakken. Daarmee voeren slachtoffers zelf een verborgen PowerShell-script uit dat contact maakt met een externe server en malware downloadt.

Beveiligingsonderzoekers noemen dit type social-engineeringaanval ClickFix; de variant die eerst de browser kapotmaakt wordt soms CrashFix genoemd. De aanval is slim opgebouwd: de kwaadaardige activiteit begint vaak pas ongeveer een uur na installatie, waardoor de link tussen installatie en infectie moeilijker te leggen is. De campagne richt zich vooral op zakelijke omgevingen, omdat bij dergelijke systemen ernstiger malware — zoals ModeloRAT, een remote access trojan — kan worden geïnstalleerd en gevoelige bedrijfsgegevens kunnen worden besmet. Bij consumenten werden soms ‘slechts’ testmeldingen gezien, maar ook dan is het risico dat het bij een volgende campagne misgaat aanzienlijk.

Google heeft NexShield inmiddels uit de Chrome Web Store verwijderd, maar wie de extensie al had geïnstalleerd, moet deze handmatig verwijderen om verdere schade te voorkomen. De zaak benadrukt hoe effectief kwaadwillenden vertrouwen, advertenties en vlekkeloze presentatie gebruiken om gebruikers te misleiden.

Praktische adviezen om dit soort gevallen te voorkomen:
- Installeer extensies alleen via de officiële Chrome Web Store en ga niet via advertenties of zoekresultaten direct naar downloadlinks.
- Controleer beoordelingen en lees gebruikersrecensies; zoek desgewenst naar onafhankelijke informatiebronnen.
- Wees uiterst terughoudend bij elk verzoek om commando’s te plakken in de opdrachtprompt of terminal — dat hoort vrijwel nooit bij legitieme software.
- Beperk het aantal extensies; verwijder ongebruikte of verdachte add-ons en houd browser en besturingssysteem up-to-date.
- In bedrijfsomgevingen: houd toezicht op extensie-installaties en informeer werknemers over dit soort social-engineeringtrucs; overweeg centrale beheersregels die installatie door eindgebruikers blokkeren.

Kortom: een ogenschijnlijk kleine klik kan grote gevolgen hebben. Kritisch blijven, minder extensies installeren en nooit blind commando’s uitvoeren zijn de belangrijkste verdedigingsmiddelen tegen deze moderne, geraffineerde aanvalsvormen.