Bösartige Browser Extensions im offiziellen Chrome Web Store

Originalartikel von Fernando Mercês, Senior Threat Researcher

Vor einiger Zeit informierte Google die Chrome-Nutzer darüber, dass sie aus Sicherheitsgründen keine Browser Extensions von Drittanbietern installieren können. Über Policies für die Extensions aus dem offiziellen Chrome Web Store würden die bösartigen verhindert werden. Doch diese Strategie kann leider Cyberkriminelle nicht von ihrem Tun abhalten.

Trend Micro hatte bereits darüber berichtet, wie eine Schadsoftware dieses Feature umgeht und eine bösartige Extension installiert. Nun fanden die Bedrohungsforscher heraus, dass die Kriminellen ihre bösartigen Browser Extensions sogar in den offiziellen Web Store setzen.

Facebook-Nachrichten als Spam

Ein solcher Angriff beginnt in den sozialen Medien. Eine Spam-Nachricht zirkulierte auf Facebook, die einen Link zu einem Video mit einem betrunkenen Mädchen enthielt. Klickt der Empfänger den Link an, so wird er auf eine Site umgeleitet, die YouTube nachahmt. Dort wird er dann aufgefordert, eine bestimmte Chrome-Extension zu installieren, um das Video ansehen zu können.


Bild 1. Gefälschte YouTube-Site mit der Aufforderung, eine Browser-Extension zu installieren

Versucht der Nutzer dies zu tun, so wird er zum offiziellen Chrome Web Store weitergeleitet, um die Extension herunterzuladen. Nach der Installation der Extension kommt er zu einem realen YouTube-Video mit betrunkenen Mädchen.


Bild 2. Die Browser Extension gibt es im offiziellen Chrome Web Store



Bild 3. Users werden zu einer realen Version von YouTube weitergeleitet

Die installierte bösartige Extension (BREX_FEBIPOS.OKZ) kann Routinen ausführen, wie Statusinformationen und Kommentare auf Facebook veröffentlichen. Auch kann sie Nachrichten und Links über die Facebook Chat-Funktion verschicken, eine Erklärung dafür, wie sich die Malware so schnell verbreiten konnte.

Hintermann der Extension

Die Nachforschungen ergaben, dass der Autor einen Virtual Private Server (VPS) in Russland gemietet hatte, wo er mehrere Domänen registrierte:

  • meusvirais[.]info – C&C, wohin gestohlene Daten von infizierten Nutzern geschickt wurden. Es handelt sich um Kontozugangsdaten für weit verbreitete Online-Dienste wie Google, Facebook und Twitter.
  • cbrup[.]info – Domäne, die für die Verwaltung von Software zum Knacken von CAPTCHAS genutzt wurde. Der Server erhält ebenfalls gestohlene Daten.
  • SuperFunVideos[.]info – für die Registrierung der Extension im Chrome Store.
  • brsupbr[.]info – ohne Verwendung in diesem Angriff

Daten aus dem Smart Protection Network zeigen, dass die Mehrheit der Nutzer, die auf diese Site zugriffen, aus Brasilien kamen. Weitere Opfer stammen aus Ländern wie Großbritannien, USA oder Argentinien.

Der Cyberkriminelle hat mindestens einen weiteren VPS, der mehr als 30 Domänen hostet, von denen Diätprodukte, Sprachdienste und Heimarbeitsangebote verkauft werden. Er nutzt among.us als Online-Zähler und Dropbox für das Hosting von betrügerischen Seiten.

Weitere bösartige Extensions

Es gibt leider noch weitere möglicherweise bösartige Extension im Web Store. Auf den ersten Blick erscheinen sie verdächtig. Sie wurden erst kürzlich veröffentlicht, haben keine Beschreibung ihrer möglichen Funktion und zum Teil gleiche Namen, wobei einige sogar denselben „Autor“ wie die bösartigen aufweisen. Die weitere Analyse zeigt, dass diese Extensions getarnten Javascript-Code enthalten. Leider geht die Anzahl der Downloads in die Tausende.

Die Empfehlung für Nutzer lautet, keine Links in Nachrichten anzuklicken, auch wenn der Absender bekannt ist, denn es könnte sich um ein infiziertes Konto handeln. Browser Extensions sollten mit Vorsicht behandelt werden, das heißt, erst die Bewertungen lesen und dann installieren.

Die in dem Angriff verwendete Extension ist im Chrome Web Store nicht mehr verfügbar. Auch hat Trend Micro Google über die weiteren verdächtigen Extensions informiert.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*