Il malware di estensione è qualsiasi estensione del browser sviluppata intenzionalmente con una codifica che causa comportamenti indesiderati o il cui codice è stato compromesso da un utente malintenzionato per farlo.
Come altri tipi di software, le estensioni del browser possono essere progettate per eseguire attacchi. Nel gennaio 2018, ad esempio, una società di sicurezza chiamata ICEBERG ha riferito di aver rilevato quattro estensioni dannose disponibili dal Chrome Web Store. I quattro - Change HTTP Request Header, Nyoogle - Custom Logo for Google, Lite Bookmarks and Stickies - Chrome's Post-it Notes - erano apparentemente progettati per condurre frodi sui clic e pratiche SEO black hat. ICEBERG ha avvertito che gli stessi metodi di accesso che hanno abilitato tali comportamenti potrebbero anche consentire agli aggressori di violare le reti aziendali e raccogliere dati sensibili.
Sebbene Google abbia successivamente rimosso le quattro estensioni dallo store, ICEBERG ha notato che le estensioni potrebbero ancora esistere sulle macchine delle persone che le hanno scaricate e che potrebbero anche essere ancora disponibili tramite repository di terze parti.
In altri casi, un'estensione può essere dirottata da un utente malintenzionato. Secondo Proofpoint, fornitore di protezione dalle minacce, a luglio e agosto 2017, otto estensioni del browser Chrome compromesse (Copyfish, Web Developer, Chrometana, Infinity New Tab, Web Paint, Social Fixer, TouchVPN e Betternet VPN) hanno inviato codice dannoso a quasi 4.8 milioni di utenti . Agli utenti mirati è stato mostrato un avviso JavaScript che diceva che il loro PC doveva essere riparato e sono stati quindi indirizzati a pagare per le false riparazioni, consentendo agli aggressori di trarre profitto da questo schema.
Gli esperti di sicurezza consigliano agli utenti di essere giudiziosi durante l'installazione delle estensioni del browser. Quando possibile, dovresti controllare quali autorizzazioni richiede un'estensione. È anche saggio astenersi dall'installare estensioni di società e sviluppatori sconosciuti.