Security researchers at Microsoft hebben een campagne geïdentificeerd met kwaadaardige browserextensies vermomd als kunstmatige intelligentie-assistenten en Google Chrome Microsoft Edge die in het geheim chatgesprekken en browseactiviteiten van gebruikers verzamelen. Volgens de bevindingen werden de uitbreidingen door bijna 900.000 gebruikers geïnstalleerd.
De extensies werden verspreid via de Chrome Web Store en presenteerden zich als legitieme productiviteitstools die ontworpen zijn om browsen te verbeteren met AI-functies. In de praktijk functioneerde de software als spyware die gevoelige informatie verzamelde van gebruikers die met online AI-diensten werkten. Onderzoekers zeiden dat de tools gesprekken verzamelden van platforms zoals ChatGPT en DeepSeek, samen met browsegegevens van de geïnfecteerde browser.
De campagne was gebaseerd op overtuigende branding en beschrijvingen die legitieme AI-extensies imiteerden. Omdat de add-ons leken op veelgebruikte productiviteitstools, installeerden gebruikers ze via gewone browserextensiemarktplaatsen zonder te beseffen dat ze kwaadaardig waren. Onderzoekers zagen ook gevallen waarin geautomatiseerde browseragenten de extensies automatisch downloadden omdat de vermeldingen betrouwbaar leken.
Eenmaal geïnstalleerd gedroegen de extensies zich als standaard browser-add-ons. Ze vroegen om toestemming waarmee ze inhoud op websites konden lezen en gebruikersactiviteit mochten monitoren. Beveiligingsspecialisten zeggen dat dergelijke machtigingen gebruikelijk zijn voor browserextensies, waardoor kwaadaardige versies tijdens de installatie moeilijk te detecteren zijn.
De spyware verzamelde lokaal gegevens op het geïnfecteerde apparaat voordat deze werd overgedragen aan infrastructuur die door de aanvallers werd beheerd. Volgens de analyse werd de informatie periodiek naar externe servers verzonden, waardoor de operators continu zicht konden houden op browse-activiteiten en interacties met AI-diensten.
Onderzoekers zeiden dat de extensies actief waren in meer dan 20.000 bedrijfsomgevingen, wat erop wijst dat de campagne mogelijk bedrijfsinformatie en persoonlijke gegevens heeft blootgesteld. Gesprekken met AI-systemen bevatten vaak gevoelige materialen zoals propriëtaire code, interne zakelijke discussies of persoonlijke informatie. Toegang tot dergelijke gegevens zou aanvallers in staat kunnen stellen bedrijfsspionage, identiteitsdiefstal of gerichte phishingcampagnes uit te voeren.
Browserextensies vormen een groeiende beveiligingszorg omdat ze breed vertrouwd zijn en eenvoudig te installeren. Zodra ze aan een browser zijn toegevoegd, krijgen ze brede toegang tot de inhoud van de pagina en gebruikersactiviteit. Beveiligingsonderzoekers merken op dat dit toegangsniveau een potentieel aanvalsoppervlak creëert als extensies worden gecompromitteerd of opzettelijk worden ontworpen om data te verzamelen.
De ontdekking benadrukt de risico’s van het installeren van browser-add-ons die beweren AI-tools te verbeteren of chatbots te integreren in webbrowsen. Beveiligingsexperts raden aan dat organisaties het gebruik van extensies binnen bedrijfsomgevingen monitoren en installaties beperken tot vertrouwde ontwikkelaars. Ze adviseren gebruikers ook om regelmatig geïnstalleerde extensies te bekijken en alle onbekende of onnodige tools te verwijderen.
De campagne toont aan hoe kwaadwillenden legitieme distributiekanalen en bekende branding kunnen gebruiken om spyware te verspreiden. Door gegevensverzamelingsfuncties in blijkbaar nuttige AI-tools te integreren, kunnen aanvallers informatie verzamelen van een groot aantal gebruikers zonder gebruik te maken van traditionele softwarekwetsbaarheden.