Chrome-gebruikers opgepast: deze gevaarlijke extensie sloopt je computer

Een onschuldige Chrome-extensie kan je computer in recordtempo onbruikbaar maken. Voor je het weet word je zelf ingezet om malware te installeren.

Nieuwe software downloaden lijkt vaak een kwestie van twee klikken, zeker als het om een handige Chrome-extensie gaat. Toch kan juist zo’n simpele handeling grote gevolgen hebben voor je computer. Cybercriminelen maken steeds slimmer misbruik van vertrouwen, zoekresultaten en advertenties om nietsvermoedende gebruikers in de val te lokken.

Een recent voorbeeld laat zien hoe fout het kan gaan. Wat begint als een zoektocht naar een advertentieblokker voor Chrome, eindigt in een nep-extensie die je computer vertraagt, je browser laat crashen en je daarna een ‘oplossing’ voorschotelt die alles alleen maar erger maakt.

Deze nep-extensie voor Chrome is extreem gevaarlijk

De extensie waar het om gaat heet NexShield en doet zich voor als een privacygerichte, lichte adblocker voor Chrome. Alles aan deze extensie is ontworpen om betrouwbaar over te komen, van de beschrijving tot de bijbehorende website. Zelfs de identiteit van de bekende uBlock Origin-ontwikkelaar wordt misbruikt om vertrouwen te wekken.

Om het plaatje compleet te maken, gebruiken de makers van NexShield betaalde advertenties. Daardoor verschijnt de nep-extensie bovenaan in zoekresultaten, precies op het moment dat iemand actief zoekt naar een adblocker voor zijn computer. Eén klik later lijkt alles nog normaal.

In werkelijkheid gebeurt er achter de schermen iets heel anders. De extensie blokkeert geen advertenties en beschermt je privacy niet. In plaats daarvan wordt Chrome langzaam maar zeker onbruikbaar gemaakt door het geheugen van je computer op te vreten.

Dat merk je al snel. Vastlopende tabbladen, een browser die niet meer reageert en een computer die ineens opvallend veel CPU en RAM gebruikt. Precies op dat moment verschijnt NexShield weer in beeld, met een waarschuwing en een aanbod om het probleem op te lossen.

De ‘oplossing’ die je computer sloopt

Zodra Chrome of Edge crasht en opnieuw wordt opgestart, verschijnt er een pop-up van de extensie. Daarin staat dat er ernstige problemen zijn gedetecteerd en dat een scan noodzakelijk is. Klik je daarop, dan beland je in een nieuw scherm vol alarmerende meldingen.

De voorgestelde oplossing bestaat uit instructies die je zelf moet uitvoeren. Dat is geen toeval. Door commando’s te kopiëren en te plakken in de opdrachtprompt van Windows, doe je precies wat cybercriminelen willen: zelf de aanval uitvoeren op je eigen computer.

Deze methode staat bekend als een ClickFix-aanval. In dit geval werd zelfs gesproken van een nieuwe variant, CrashFix, omdat de browser eerst bewust wordt gesloopt. Het geplakte commando activeert een verborgen PowerShell-script dat verbinding maakt met een externe server en daarvandaan kwaadaardige software downloadt.

Opvallend is dat deze aanval pas ongeveer een uur na installatie van de extensie actief wordt. Dat maakt het lastiger om de oorzaak te achterhalen en zorgt ervoor dat veel slachtoffers niet meteen doorhebben dat de Chrome-extensie de boosdoener is.

Waarom deze aanval extra gevaarlijk is

Deze specifieke campagne richt zich vooral op zakelijke gebruikers. Wordt NexShield geïnstalleerd op een computer binnen een bedrijfsnetwerk, dan kan er serieuze malware zoals ModeloRAT worden binnengehaald. Daarmee krijgen aanvallers mogelijk toegang tot gevoelige bedrijfsgegevens.

Bij thuisgebruikers bleef de schade in sommige gevallen beperkt tot een testmelding, maar dat maakt het risico niet kleiner. Het laat vooral zien hoe geraffineerd deze aanval is opgebouwd en hoe dicht je soms langs een echte infectie scheert.

Inmiddels is de NexShield-extensie door Google verwijderd uit de Chrome Web Store. Toch betekent dat niet dat het gevaar geweken is. Wie de extensie al had geïnstalleerd, moest die zelf handmatig verwijderen om verdere problemen te voorkomen.

Dit soort aanvallen laat zien hoe snel een ogenschijnlijk kleine beslissing grote gevolgen kan hebben voor je computer en je data. Zeker omdat alles eruitziet alsof het bij Chrome zelf hoort.

Zo houd je jouw computer en Chrome veilig

Deze situatie is een duidelijke wake-up call. Het probleem begon niet bij een technisch foutje, maar bij het klikken op een advertentie in de browser. Kwaadaardige advertenties zijn nauwelijks te onderscheiden van legitieme, zeker als ze verwijzen naar iets bekends zoals een Chrome-extensie.

Ga daarom altijd rechtstreeks naar de Chrome Web Store wanneer je een extensie zoekt en vermijd advertenties in zoekresultaten. Controleer beoordelingen, lees recensies en zoek eventueel externe informatie voordat je iets installeert op je computer.

Wees daarnaast extra alert op ‘oplossingen’ die vragen om het uitvoeren van commando’s in een opdrachtprompt. Dat is vrijwel nooit nodig bij legitieme software en vormt een groot waarschuwingssignaal. Hoe overtuigend het verhaal ook klinkt, hier moet je direct afhaken.

ClickFix- en CrashFix-aanvallen zijn effectief en verdwijnen voorlopig niet. Juist daarom ligt de verantwoordelijkheid steeds vaker bij jou als gebruiker. Door kritisch te blijven, minder extensies te installeren en niets klakkeloos te volgen, voorkom je dat een simpele Chrome-extensie je hele computer onderuit haalt.

Google Chrome wordt veel beter met deze extensies

Onderwerpen

• chrome
• Google