Een bijlage in een e-mail leidt tot de installatie van een schadelijkeextensie. Onderzoekers stellen dat deze deel uitmaakt van een Windows die via een phishing-e-mail wordt verspreid. De malware maakt misbruik van Chrome Messaging om de controle van de browser naar het hostsysteem over te brengen. Het meest opvallende aspect is niet de phishing-loktactiek zelf, maar de manier waarop de malware legitieme browser- en Windows gebruikt om PowerShell uit te voeren en gegevens te verzamelen, terwijl het binnen de verwachte werkprocessen blijft.
De aanval begint met een e-mailbijlage die zich voordoet als een PDF-bestand. Het bestand heeft de misleidende extensie .pfd.js Het lijkt op een PDF-document, maar het is in feite een versleuteld JavaScript-bestand dat extra bestanden in de tijdelijke map plaatst en de rest van de infectieketen in gang zet.
Als onderdeel van die keten maakt een PowerShell-script eenextensie klaarextensie wijzigt het de Chrome , zodat de extensie worden geïnstalleerd. De malware zorgt ervoor dat de installatie overkomt als een door een beheerder gecontroleerde implementatie in plaats van een gewone extensie .
Zodra de extensie de bijbehorende native-app actief zijn, verzamelen ze browsercookies, geopende tabbladen, URL’s, taalinstellingen en fingerprinting-gegevens. De beheerders gebruiken de installatie bovendien als een kanaal voor opdrachten op afstand, waarmee ze instructies versturen die PowerShell kunnen starten en de inhoud van de C: rit.
Met de gestolen, geauthenticeerde sessiecookies kunnen de aanvallers actieve browsersessies kapen in plaats van alleen wachtwoorden te stelen. Dit is voor hen nuttiger, omdat ze zo toegang krijgen tot accounts die al zijn aangemeld in de browser van het slachtoffer, waarbij ze de meervoudige authenticatie (MFA) omzeilen.
Het meest opvallende aspect van de aanval is het misbruik van Chrome Messaging als brug tussen de sandbox van de browser en het besturingssysteem. Chrome extensies Chrome om te communiceren met een geregistreerde native host, en de aanvallers hebben die legitieme functie misbruikt om de extensie in te zetten extensie middel voor het uitvoeren van lokale code. De extensie start PowerShell extensie rechtstreeks op. In plaats daarvan stuurt deze berichten naar de native host, die vervolgens PowerShell op het hostsysteem start of ermee communiceert.
Hoe blijf ik veilig
De eerste verdedigingslinie tegen dit soort aanvallen is om geen bijlagen in e-mails te openen, tenzij je de afzender kunt verifiëren. Daarnaast:
- Controleer altijd de daadwerkelijke extensie van af te gaan op de weergegeven bestandsnaam.
- Gebruik een up-to-date, realtime anti-malwareoplossing om kwaadaardige activiteiten op te sporen en te blokkeren.
- Controleer welke Chrome er op je apparaat zijn geïnstalleerd en verwijder alle extensies die je niet herkent of die je niet meer gebruikt.
- Voor de zekerheid kun je het beste uitloggen bij belangrijke accounts als je klaar bent. Hierdoor wordt je sessie ongeldig gemaakt, dus zelfs als iemand je sessiecookie heeft gestolen, kan hij of zij deze niet gebruiken om toegang te krijgen tot je account.
- Controleer regelmatig de inloggeschiedenis van belangrijke accounts. Bij veel online diensten kun je zien vanaf welke apparaten er is ingelogd, wanneer en vanaf welke locatie.
IOC's
Bijlage:
Fattura-2819889242.pfd.js (weergegeven als Fattura-26189991026.pdf)
Schadelijke bestanden:
client_124578.exe
d3d11.dll
Chrome extensie:
Naam: Cloud vn105rkj64
ID: gghagmhimhgfeajfdmjkgmmehbokmglg
Domein:
ext2[.]info
Dit wordt geblokkeerd door Malwarebytes Browser Guard, onze gratis extensie advertenties, trackers, malware en meer blokkeert.
![Browser Guard ext2[.]info](https://www.malwarebytes.com/wp-content/uploads/sites/2/2026/06/ext2infoblock.png)
We rapporteren niet alleen over bedreigingen - we verwijderen ze ook
Cyberbeveiligingsrisico's mogen zich nooit verder verspreiden dan een krantenkop. Houd bedreigingen van uw apparaten door Malwarebytes vandaag nog te downloaden.
